ACCORDO DI CONTITOLARITÀ DEL TRATTAMENTO DATI PERSONALI PER L’EROGAZIONE DI PRESTAZIONI SOCIO SANITARIE E ASSISTENZIALI CON LE RSA E/O I CENTRI DIURNI ACCREDITATI CON IL SERVIZIO SANITARIO PROVINCIALE
ALLEGATO G
ACCORDO DI CONTITOLARITÀ DEL TRATTAMENTO DATI PERSONALI PER L’EROGAZIONE DI PRESTAZIONI SOCIO SANITARIE E ASSISTENZIALI CON LE RSA E/O I CENTRI DIURNI ACCREDITATI CON IL SERVIZIO SANITARIO PROVINCIALE
(art. 26 del Regolamento UE 2016/679) TRA
Azienda Provinciale per i Servizi Sanitari, con sede legale in 00000 Xxxxxx, Xxx Xxxxxx Xxxxxxxxx,
x. 00, partita IVA e C.F. 01429410226, nella persona del Direttore Generale xxxx. Xxxxx Xxxxxx (di seguito “APSS” o anche “Contitolare”);
E
I soggetti giuridici gestori di Residenze Sanitarie Assistenziali con sede territoriale/ospedaliera (RSA) e/o di Centri Diurni anziani (CD) del Servizio Sanitario Provinciale (SSP) (di seguito, “Struttura” o anche “Contitolare”) come individuate dalle Direttive provinciali anno 2020
di seguito congiuntamente “Parti” o anche “Contitolari”
PREMESSO CHE:
- l’art. 26, punto 1, del Regolamento UE 2016/679 (di seguito “Regolamento”) prevede che “allorché due o più titolari del trattamento stabiliscono congiuntamente le finalità e i mezzi del trat- tamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Re- golamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14”;
- l’art. 26, punto 2, del Regolamento prevede che, “L’accordo di contitolarità riflette adegua- tamente i ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione degli interessati”;
- le parti determinano congiuntamente le finalità ed i mezzi del trattamento dei dati personali che consistono nell’erogazione di prestazioni socio sanitarie ed assistenziali rivolte agli utenti del SSP, secondo quanto previsto dagli accordi negoziali (di seguito “Convenzione“);
- l’espletamento delle suddette attività comporta infatti il trattamento di dati personali, come definiti all’art. 4, punto 1) del Regolamento, anche di particolari categorie di cui all’art. 9 del GDPR;
- le Parti si impegnano sin d’ora a trattare i dati secondo i principi di liceità, correttezza, tra- sparenza, minimizzazione, esattezza, limitazione, integrità, riservatezza ed esclusivamente per le fi- nalità esplicitate nel presente accordo, ai sensi dell’art. 5, punto 1 del Regolamento, del D. Lgs. 196/2003 e successive modifiche (d.lgs. 101/18) (“Codice in materia di protezione dei dati personali”) e di ogni altra norma cogente (ad es. leggi, decreti legislativi, regolamenti ecc.), ivi in- clusi i provvedimenti del WP29, del Comitato europeo per la protezione dei dati e del Garante per
la protezione dei dati personali (di seguito “Garante”) di volta in volta applicabili (di seguito “Nor- mativa Applicabile”);
SI CONVIENE QUANTO SEGUE:
Art. 1 - Oggetto
1. Con il presente accordo (di seguito “Accordo”) le Parti determinano congiuntamente le fina- lità e mezzi del trattamento, nonché le rispettive responsabilità in merito all’osservanza degli obbli- ghi derivanti dal vigente assetto normativo con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14.
2. La Contitolarità di cui al presente Accordo è riferita al trattamento dei dati personali svolto nell’ambito della Convenzione, sia con modalità analogiche che con strumenti informatizzati, con l’esclusione di ciò che è gestito nell’ambito del fascicolo sanitario elettronico in base al consenso rilasciato dall’interessato e di ciò che è gestito per finalità amministrative in adempimento degli ob- blighi istituzionali, in conformità alle disposizioni di legge e regolamento, in particolare ai sensi dell’art. 2 sexies del D.lgs. 196/2003.
3. Con il presente Accordo sono inoltre stabiliti gli obblighi delle Parti in merito all’esercizio dei diritti degli interessati.
Art. 2 – Dati trattati, finalità e base giuridica del trattamento
1. Per l’erogazione delle prestazioni oggetto della Convenzione, verranno raccolti e trattati dati personali degli utenti, inclusi quelli rientranti nelle categorie particolari di dati, laddove necessari ed indispensabili rispetto al perseguimento delle obbligazioni derivanti dall’attività negoziata.
2. Le Parti determinano congiuntamente che la finalità del trattamento è l’erogazione di presta- zioni socio sanitarie ed assistenziali rivolte agli utenti del SSP, secondo quanto previsto dalla Con- venzione.
3. La base giuridica del trattamento dei dati personali è rappresentata dall’articolo 9, paragrafo 2, lettera h, dagli articoli 2 septies e 75 del D.lgs 196/2003 e dalle specifiche disposizioni di settore.
4. Il rapporto di contitolarità avrà ad oggetto le seguenti tipologie di dati:
NATURA DEI DATI | CATEGORIE DI SOGGETTI INTERESSATI |
dati anagrafici identificativi | utenti dei servizi loro referenti |
dati di contatto | utenti dei servizi loro referenti |
dati relativi allo stato di salute | utenti dei servizi |
dati relativi alle convinzioni religiose (solo su esplicita richiesta dell’interessato per fruire di assistenza religiosa) | utenti dei servizi |
dati relativi alla condizione sociale | utenti dei servizi loro referenti |
Art. 3 – Ripartizione dei ruoli e dei compiti
1. Ogni Contitolare si assume, per la parte di propria competenza, l’onere di trattare i dati per- sonali secondo le norme vigenti, le modalità di conservazione e le disposizioni inerenti agli inciden- ti di sicurezza informatica e attraverso l’utilizzo di strumenti informatici conformi ai requisiti tecni- co-organizzativi vigenti, nonché tramite proprio personale, debitamente informato e istruito ex art. 32 del Regolamento, condividendo percorsi formativi comuni o estendendo linee guida, disciplinari interni e policy di condotta.
2. Rispetto ai dati trattati nell’ambito della Convenzione, ciascun Contitolare nomina un Pre- posto, anche tenuto conto dei contenuti del primo comma art. 2-quaterdecies del Codice, al tratta- mento dei dati personali, individua il personale Autorizzato/Addetto al trattamento dei dati persona- li, nonché gli eventuali amministratori di sistema, impartendo le necessarie istruzioni per un corretto adempimento delle disposizioni alla luce della normativa applicabile.
3. Ogni Contitolare informa e forma il proprio personale interessato sulle modalità organizza- tive, sulle procedure operative, sulla gestione della documentazione cartacea, sull’utilizzo degli strumenti informatici e sulle funzionalità dei sistemi informativi.
4. I Contitolari si impegnano inoltre a:
a) adottare un’informativa da rendere disponibile agli interessati ai sensi degli artt. 13 e 14 del Regolamento;
b) mettere a disposizione degli interessati il contenuto del presente Accordo, ai sensi dell’art. 26, par. 2 del Regolamento, attraverso richiesta da inviare a una delle parti ai contatti previsti al successivo art. 7;
c) censire, ognuna nel proprio registro dei trattamenti, se previsto, i trattamenti di dati persona- li per cui sono Contitolari in virtù del presente Accordo ai sensi dell’art. 30 del Regolamento;
d) effettuare – laddove necessario – una valutazione d’impatto sulla protezione dei dati (DPIA), relativamente al trattamento oggetto del presente accordo, ai sensi degli articoli 35 e 36 del Regolamento. L’eventuale consultazione preventiva dell'autorità di controllo e la trasmissione dei dati necessari alla medesima sarà effettuata previo accordo tra le parti.
e) informare senza ritardo l’altra parte, anche attraverso i rispettivi Responsabili della Prote- zione dei Dati personali (di seguito “RPD”), di eventuali comunicazioni, ispezioni e/o contestazioni del Garante con riferimento ai trattamenti oggetto della Convenzione, nonché in caso di reclamo o esercizio del diritto dei diritti ex artt. 15 e segg. GDPR;
f) condividere vicendevolmente e senza indugio, anche per il tramite dei rispettivi RPD, ogni violazione ai dati trattati nell’ambito dell’Accordo, inclusi gli eventuali incidenti di sicurezza rileva- ti, concordando nel più breve tempo possibile, e comunque entro i termini e modi previsti dalla normativa, i contenuti dell’eventuale notifica al Garante e agli interessati ai sensi degli artt. 33 e 34 del Regolamento; la comunicazione all'interessato in caso di una violazione dei dati personali sarà effettuata dalla parte che avrà materialmente subito il data breach.
5. Il trattamento dei dati personali oggetto del presente accordo avviene in particolare tramite il sistema informativo (“Atl@nte”), anche attraverso interoperabilità informatica; le Parti sono con- giuntamente autorizzate a compiere le attività di seguito indicate:
Operazione | Descrizione attività |
Raccolta | acquisizione del dato |
Consultazione | lettura dei dati personali |
Elaborazione | modifica sostanziale il dato |
Cancellazione (logica) | eliminazione dei dati tramite utilizzo di strumenti informatici |
Comunicazione a terzi legittimati | (artt. 15 e 92 GDPR) |
Per le operazioni di trattamento dei dati con il sistema informativo sopra richiamato, diverse da quelle sopra indicate, la responsabilità è da ritenersi in capo ad APSS, in qualità di soggetto che ha messo a disposizione il sistema; in particolare l’operazione di conservazione e successiva cancella- zione dei dati contenuti nel sistema sono in capo ad APSS.
6. I Contitolari non possono utilizzare i dati trattati nell’ambito del presente Accordo per scopi di carattere commerciale e comunque per finalità non legate al trattamento in questione.
Art. 4 – Obblighi relativi alla sicurezza dei dati personali
1. I Contitolari sono tenuti a mettere in atto tutte le misure di sicurezza tecniche ed organizza- tive adeguate per proteggere i dati personali trattati nell’ambito della attività di cui al presente Accordo, verificando regolarmente il rispetto di tali misure per il tempestivo recupero della dispo- nibilità dei dati personali trattati in caso di incidente fisico o tecnico ed eseguire un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
2. Le parti convengono che per il sistema di cui all’art. 3 l’individuazione, l’adozione e l’implementazione delle misure di sicurezza sul sistema informativo utilizzato e condiviso nel con- testo dell’erogazione dei servizi di cui in premessa compete alla APSS. Ogni contitolare è invece responsabile dell’individuazione dei soggetti da abilitare/disabilitare al sistema e dell’assegnazione del relativo ruolo.
3. Ogni Contitolare predispone modalità organizzative e procedure operative nel rispetto dei principi applicabili al trattamento dei dati personali, in particolare del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lettera c), del Regolamento e della tutela della riservatezza dei dati personali.
4. La tipologia del collegamento per la trasmissione dei flussi di dati e le caratteristiche di det- taglio sono individuate dai Contitolari in relazione all’opportunità tecnologica, alle caratteristiche delle prestazioni richieste e all’onerosità della connessione. Le caratteristiche del collegamento po- tranno cambiare nel tempo in relazione alla disponibilità di particolari tecnologie, all’evoluzione delle stesse, all’adeguatezza dei sistemi di comunicazione rispetto ai flussi di dati. La condivisione di tali modalità avrà luogo attraverso un confronto tra l’amministratore del sistema informativo di cui all’art. 3 e gli amministratori di eventuali altri sistemi informativi interoperanti utilizzati dalla struttura.
5. In particolare, i Contitolari si impegnano:
a) a rispettare il principio di necessità riducendo al minimo l’utilizzazione di dati personali e identificativi in modo da escludere il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi o modalità che consentano di identificare l’interessato solo se necessario; rispettare i principi di “privacy by design” e “privacy by default” - evitare di fare copie, estrazioni, duplicazioni, anche parziali per ragioni non
attinenti alle finalità del trattamento di cui in premessa, documentare le predette operazioni di sicurezza e, in caso di richiesta, esibire a ciascun contitolare ogni documento a supporto;
b) a non comunicare a soggetti non autorizzati né a diffondere dati personali e informazioni di carattere strettamente riservato che riguardano la dotazione tecnologica e/o le modalità or- ganizzative e procedurali di cui venissero a conoscenza nei rapporti con gli altri Contitolari;
c) ad agevolare verifiche reciproche di adeguatezza delle strumentazioni e delle metodologie di trattamento e trasmissione, solo dei dati previsti riferiti alla Convenzione. Nello specifico sono garantite ed accettate in modo reciproco azioni di controllo e di audit al fine di verifi- care il rispetto delle misure di sicurezza minime ed idonee in accordo con quanto stabilito dalla normativa applicabile, nonché il rispetto delle disposizioni contenute nel presente Ac- cordo;
d) ad informare, formare ed aggiornare costantemente il proprio personale sugli aspetti connes- si alla sicurezza del trattamento dei dati.
6. Ove il trattamento dei dati da parte dei Contitolari avvenga mediante l’interazione tra siste- mi informativi si deve garantire l’osservanza delle disposizioni in materia di sicurezza informatica e di protezione dei dati personali. In particolare al fine di garantire un trattamento efficiente, sicuro e affidabile da parte delle Parti è fondamentale che siano rispettate le regole tecniche, organizzative, comportamentali e quelle riguardanti i contenuti informativi contenute nel presente Accordo anche mediante interventi di raccordo che coinvolgano i rispettivi amministratori di sistema, i responsabili del trattamento e gli RPD.
Art. 5 – Responsabilità dei Contitolari
1. Le Parti sono responsabili per il rispetto delle misure di propria pertinenza al fine di garanti- re il risarcimento effettivo dell’interessato ai sensi di quanto previsto dalla Normativa Applicabile, dagli articoli 26 e 82 del Regolamento, e in particolare secondo quanto previsto dagli articoli 3 e 4 del presente Accordo.
2. Per quanto riguarda il trattamento dei dati personali previsti nell’Accordo, i Contitolari sa- ranno ritenuti solidalmente responsabili nei confronti degli interessati, i quali potranno agire indi- stintamente nei confronti di ciascun Contitolare per la tutela dei propri diritti. Ferma restando la re- sponsabilità solidale verso gli interessati, è sin d’ora convenuto che ciascun Contitolare avrà azione di regresso nei confronti degli altri Contitolari per le eventuali sanzioni, multe, ammende o danni derivanti dalla violazione o dall’erronea esecuzione del presente Accordo.
Art. 6 – Responsabile del trattamento dei dati
1. In relazione ai trattamenti di dati effettuati nell’ambito dell’Accordo, i Contitolari possono nominare uno o più responsabili al trattamento dei dati (ex art. 28 del Regolamento), scelti tra sog- getti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adegua- te, in modo tale che il trattamento soddisfi le previsioni di legge e garantisca la tutela dei diritti de- gli interessati, svolgendo opportune verifiche e indagini.
2. La nomina del responsabile al trattamento può avvenire con atto giuridico congiunto dei Contitolari oppure con atto giuridico di uno dei Contitolari, che dovrà comunicarne gli estremi agli altri Contitolari per opportuna conoscenza con un preavviso di almeno 7 giorni o, nel caso di rap- porto in essere al momento della stipula del presente atto, entro i 7 giorni successivi alla stessa. Nel caso di designazione non congiunta, il contitolare che nomina il Responsabile ha l’onere e la re- sponsabilità di verificare l’adeguatezza delle misure tecniche ed organizzative adottate dal medesi-
mo, assumendosi in via esclusiva eventuali conseguenze pregiudizievoli derivanti dalla condotta del Responsabile stesso.
3. I Contitolari si impegnano a limitare gli ambiti di circolazione e trattamento dei dati perso- nali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Pa- esi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero in assenza di strumenti di tutela previsti dal GDPR (Paese terzo giudicato adeguato dalla Commissione europea, BCR di gruppo, clausole contrattuali modello, etc.). Il contitolare, pertanto, non potrà trasferire o effettuare il trat- tamento dei dati personali oggetto del presente accordo al di fuori dell’Unione Europea.
Art. 7 - Diritti degli interessati
1. Gli interessati possono richiedere in qualsiasi momento l’accesso ai propri dati personali e ottenere copia degli stessi, la loro rettifica o integrazione qualora li ritengano inesatti o incompleti, nonché la loro cancellazione, ove quest’ultima non contrasti con la normativa vigente sulla conser- vazione dei dati stessi e con l’eventuale necessità di consentire l’accertamento, l’esercizio o la dife- sa di un diritto in sede giudiziaria.
2. Gli interessati, come previsto dall’art. 77 del Regolamento, hanno altresì diritto di presenta- re reclamo all’Autorità nazionale di controllo in caso di illecito trattamento o di ritardo nella rispo- sta del titolare a una richiesta che rientri nei diritti dell’interessato.
3. Per l’esercizio di tali diritti i punti di contatto sono i seguenti:
- per APSS: ufficio URP sito a Palazzo Stella in Via Degasperi, n. 77 – 00000 Xxxxxx – tel. 0461/904172 - fax 0461/904170 – indirizzo di posta elettronica xxx@xxxx.xx.xx;
- per la Struttura: i riferimenti indicati nell’allegato alle direttive provinciali RSA e Centri Diurni anno 2020;
4. I riferimenti dei Responsabili della protezione dei dati (RPD), a cui l’interessato può rivol- gersi per le questioni relative al trattamento dei propri dati personali, sono i seguenti:
- per APSS: Xxx Xxxxxxxxx, 00 – 00000 Xxxxxx, indirizzo di posta elettronica Responsabile- XxxxxxxxxxXxxx@xxxx.xx.xx;
- per la Struttura: i riferimenti indicati nell’allegato alle direttive provinciali RSA e Centri Diurni anno 2020;
5. Resta inteso che, ai sensi dell’art. 26, par. 3, del Regolamento, indipendentemente dalle di- sposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di ciascun Contitolare.
Art. 8 - Xxxxxxxxxx e confidenzialità
1. I Contitolari si impegnano a considerare strettamente confidenziale tutto il materiale gene- ralmente non di dominio pubblico di cui possono venire a conoscenza in ragione del rapporto di contitolarità e si impegnano a comunicare e utilizzare tali informazioni solamente per gli scopi pre- visti dal presente Accordo.
Art. 9 – Foro Competente
1. Per qualsiasi controversia derivante o comunque collegata al presente Accordo sarà compe- tente in via esclusiva il Foro di Trento, con esclusione degli eventuali fori facoltativi previsti dalla legge.
Art. 10 - Corrispettivi
1. Le Parti convengono che per il ruolo di Contitolare nel trattamento dei dati nell’ambito del presente Accordo non è prevista remunerazione in merito ai servizi richiesti e forniti reciprocamen- te.
Art. 11 – Durata
1. La decorrenza e il termine del presente Accordo sono pari a quelle della Convenzione.
Art. 12 - Disposizioni conclusive
1. Eventuali modifiche al presente Accordo dovranno essere apportate previa intesa scritta tra le Parti.
2. Le Parti hanno letto e compreso il contenuto del presente Accordo e con la formale adesione allo stesso esprimono pienamente il loro consenso.
***