Contratto di servizio in-house

Contratto di servizio in-house

TRA

L’Azienda USL Toscana Centro P.IVA n. 06593810481, con sede legale in Xxxxxx Xxxxx Xxxxx Xxxxx x. 0, rappresentato dal dr. Xxxxx Xxxxxxx Xxxxxxxx, nato il 02/06/1956 a Padova in qualità di Direttore Generale

E

Il Consorzio Metis (che nel corpo del testo sarà definito “Consorzio”), con sede legale in Pisa, via X. Xxxxxxx n. 6, P.IVA 01474230503, in persona del suo Amministratore Unico, nonché Legale Rappresentante, Dr. Xxxxxx Xxxxx, domiciliato per la carica presso la sede del Consorzio, autorizzato alla stipula del presente atto in virtù dei poteri conferitigli dallo Statuto.

PREMESSO

• che in data 15.10.1998 era istituito il Consorzio Metis;

• che l’Azienda USL Centro ha aderito al Consorzio Metis;

• che in quanto amministrazione aggiudicatrice, il Consorzio è sempre tenuto all’osservanza della disciplina delle procedure degli appalti pubblici per l’acquisizione dei beni e dei servizi e lavori, di cui necessita per l’esecuzione delle attività affidategli dai Soci;

• che i rapporti fra la Consorziata ed il Consorzio si conformano alle regole proprie dell’in-house providing, soddisfacendo i requisiti fissati dalla normativa (e dalla giurisprudenza) comunitaria e nazionale;

• che in data 14.09.2018 l’Assemblea Consortile ha approvato il “Regolamento per la disciplina delle modalità di affidamento di prestazioni dalle consorziate al consorzio, della loro organizzazione, gestione e controllo” che nel presente contratto si intende integralmente richiamato;

• che il presente atto perfeziona il procedimento rappresentando il Contratto di servizio in-house a firma congiunta.

Art 1. Oggetto del Servizio

1. La Consorziata affida al Consorzio, che accetta e si obbliga a realizzare le seguenti prestazioni:

● area A: Servizi di supporto alla gestione del patrimonio immobiliare

● area B: Servizi di identificazione digitale del patrimonio

2. Il Consorzio si obbliga ad eseguire le attività contrattuali nel rispetto di quanto previsto:

- nelle lettera di richiesta di servizio (di seguito indicato Richiesta di Servizio), inviata dalla Consorziata al Consorzio e aventi riferimenti PROT. 24637 pervenuta a mezzo pec in data 31.03.2022

- nell’offerta offerta Economica del Consorzio con Prot. n. 436/2022 del 28.04.2022;

- nell’offerta Tecnica del Consorzio con Prot. n. 437/2021 del 28.04.2022;

- negli atti di accettazione delle offerte Economiche e Tecnica Prot. n. 31922 del 28/04/2022;

Gli atti sopra indicati sono da considerarsi parti integranti e sostanziali del presente contratto ancorché depositati agli atti, in cui è riportata la soluzione che si reputa opportuna proporre, evidenziando le attività da effettuare, le modalità attraverso le quali si intende raggiungere gli obiettivi espressamente indicati dalla Consorziata, la durata del servizio e la sua valorizzazione economica.

Art 2. - Durata del contratto

Il presente contratto ha una durata di 36 mesi con decorrenza dal 01.06.2022 al 31.05.2025, salvo quanto riportato in Art 12. in tema di Risoluzione, Recesso e Cessazione degli Effetti del “Regolamento per la disciplina delle modalità di affidamento di prestazioni dalle consorziate al consorzio, della loro organizzazione, gestione e controllo”. Le parti concordano inoltre che, nelle more della sottoscrizione della convenzione, sono fatti salvi gli eventuali rapporti intercorsi che sono regolati dalle norme previste dalla presente convenzione.

Art 3. - Corrispettivo

1. Il corrispettivo contrattuale, così come risulta dall’Offerte Economiche e Tecnica, sottoscritte con firma digitale dall’ Amministratore Unico, parte integrante e sostanziale del presente contratto ancorché depositate agli atti, è fissato in € 273.135,24 (Euro: duecentosettantatremilacentotrentacinque/24) oltre IVA nei termini di legge se dovuta per la durata di tre anni con importo mensile di € € 7.587,09 = (Euro settemilacinquecentoottantasette/09) oltre IVA nei termini di legge se dovuta.

2. Gli importi oggetto del presente contratto sono quelli indicati nelle Offerte Economica suddetta;

3. La Consorziata garantisce la corrispondente copertura economica degli oneri economici derivanti dal presente contratto;

4. Il corrispettivo contrattuale è comprensivo di tutte le spese connesse alle prestazioni riportate nell’offerta tecnica del Consorzio.

Art 4. - Fatturazioni e pagamenti

1. Il Consorzio fatturerà alla Consorziata in ragione dei servizi attivati e dei compensi da ricevere, in base alle modalità e secondo le tempistiche indicate nell’offerta Tecnica ed Economiche e relativo atto di approvazione;

2. Le fatture devono essere intestate a “Azienda USL Toscana Centro”, codice fiscale 06593810481 e dovranno contenere i seguenti riferimenti: - codice univoco ufficio per la fatturazione elettronica

- numero di ordine NSO;

- indicazione del capo di riferimento dello specifico servizio fatturato;

3. Il corrispettivo dovrà essere versato al Consorzio entro 30 giorni dal ricevimento delle fatture, mediante Bonifico Bancario a favore della Cassa di Risparmio di Pisa

– Sede Centrale – IBAN XX00 X 00000 00000 000000000000 intestato al Consorzio Metis;

4. Al fine di riconciliare i pagamenti con le fatture emesse dal Consorzio la Consorziata si impegna ad indicare il numero della fattura nella causale del bonifico bancario.

Art. 5. - Obblighi di riservatezza e segretezza

La Consorziata nomina il Consorzio Metis quale responsabile esterno del trattamento dei dati personali e sensibili con i quali, in ragione del servizio affidato, dovesse venire in contatto ed allo scopo il Consorzio stesso dovrà prendere contatti con il referente della privacy aziendale. E’ fatto obbligo al Consorzio di mantenere riservati i dati e le informazioni di cui venga in possesso, di non divulgarli e di non farne oggetto di utilizzazione a qualsiasi titolo, se non dietro preventivo consenso da parte dell'Azienda, secondo quanto previsto dalla normativa vigente.

In particolare il Consorzio dovrà:

- mantenere la più assoluta riservatezza sui documenti, informazioni e altro materiale;

- non divulgare informazioni acquisite durante lo svolgimento dell'attività contrattuale, ai sensi di quanto previsto dalla normativa vigente.

Art. 6 Trattamento dei dati personale

Il trattamento dei dati personali dovrà avvenire nel rispetto del Regolamento Europeo 2016/679 (RGPD), del D.Lgs. 196/2003 e successive modifiche ed integrazioni, e della deliberazione del Direttore Generale n. 179 del 30.01.2019 visibile sul sito aziendale xxx.xxxxxxxxx.xxxxxxx.xx alla voce “privacy”.Ai sensi di quanto indicato ai punti 4, 5 e 6 del dispositivo della sopra richiamata delibera 179/2019, è allegato al presente accordo contrattuale, quale sua parte integrante e sostanziale, l’“Atto di nomina a Responsabile del Trattamento Dati ai sensi dell’art. 28 del Regolamento UE 2016/679”, allegato 1.

Il Referente del trattamento dei dati competente provvederà con le modalità di cui all’art. 24 dell’allegato B.1 al contratto tra Azienda e l’Associazione di cui al presente provvedimento, ove è prevista la possibilità di impartire per iscritto eventuali ulteriori specifiche che dovessero risultare necessarie per il corretto svolgimento delle attività di trattamento dei dati e in considerazione dell’istituzione Gruppo di Lavoro Protezione Dati (punto 8 del dispositivo della deliberazione del Direttore Generale n. 179/19).

Art. 7 Codice di comportamento

Il Soggetto contraente è tenuta a far osservare a tutti i professionisti ed a tutto il personale operante a qualsiasi titolo nella struttura stessa:

i principi contenuti nel codice di comportamento dell’Azienda USL Toscana Centro adottato con deliberazione n.1358 del 16.9.2016 e pubblicato sul sito aziendale xxx.xxxxxxxxx.xxxxxxx.xx alla voce:” amministrazione-trasparente- disposizioni generali-atti generali”;

l’assenza di cause di incompatibilità del personale eventualmente impiegato, ai sensi L. 662/96 e/o del D.Lvo 165/2001 art. 53, e L.412/91.

Inoltre si segnala che alla sezione del sito aziendale “amministrazione trasparente/altri contenuti” sono reperibili le istruzioni e la modulistica per rendere le segnalazioni di illeciti ( Whisteblowing).)

Art 8. - Registrazione

1. Il presente contratto, sottoscritto digitalmente, consta di n. 4 pagine e sarà registrato in caso d’uso con oneri a carico della parte che ne avrà interesse ai sensi dell’art. 5 del DPR 131 del 26/04/1986;

2. Le spese relative all'imposta di bollo sono a carico del Consorzio Metis. La predetta imposta viene assolta con pagamento di euro 16 tramite F24 la cui distinta viene allegata al presente contratto;

Per quanto non espressamente previsto si rimanda al Disciplinare per la stipula dei contratti in house riportato in premessa e alla normativa vigente.

Articolo 9 - Foro competente

Per tutte le controversie inerenti al presente Contratto e sua validità, interpretazione ed esecuzione sarà esclusivamente competente il Foro di Firenze.

Xxxxx, approvato e sottoscritto.

Per la Consorziata Per Consorzio METIS

Il Direttore Generale l’Amministratore Unico

Dr. Xxxxx Xxxxxxx Marchese Dr. Xxxxxx Xxxxx

Il presente contratto viene sottoscritto dalle parti con firma digitale.

Il contratto si intende stipulato nel mese e nel giorno della sottoscrizione dell’ultimo firmatario.

Allegato 1)

ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DATI AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679

TRA

l’Azienda USL Toscana Centro, in persona del Direttore Generale, xxxx. Xxxxx Xxxxxxx Xxxxxxxx, domiciliato per la carica presso la sede dell’Azienda sita in Xxxxxxx X.xxx X.Xxxxx Xxxxx, 0 00000 (XX), Partita IVA/codice fiscale 06593810481, di seguito anche come “AZIENDA”,

E

Il Consorzio Metis (che nel corpo del testo sarà definito “Consorzio”), con sede legale in Pisa, via X. Xxxxxxx n. 6, P.IVA 01474230503, in persona del suo Amministratore Unico, nonché Legale Rappresentante pro tempore, Dr. Xxxxxx Xxxxx, domiciliato per la carica presso la sede del Consorzio, autorizzato alla stipula del presente atto in virtù dei poteri conferitigli dallo Statuto.

congiuntamente anche come le “Parti”

Premesso che:

- l’art. 28, par. 3, del Regolamento UE n. 2016/679 (General Data Protection Regulation), di seguito anche GDPR, prevede che i trattamenti effettuati per conto del Titolare del trattamento (Azienda) da parte di un Responsabile del trattamento siano regolati da un contratto o da altro atto giuridico che determini la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

• l’art. 28 del Regolamento (UE) n. 2016/679 riconosce, altresì, al Titolare del trattamento la facoltà di avvalersi di uno o più responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche relativamente al profilo della sicurezza;

- la Azienda e la …………….. hanno sottoscritto in data REP

n…..del… una convenzione avente ad oggetto “Convenzione”;

• ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle proprie attività;

• il Titolare ha affidato alla società

(di seguito “Responsabile” o

“Fornitore”, e congiuntamente con il Titolare, “Parti”) l’attività di consulatazione di documenti cartacei che si richiama espressamente e del quale la presente forma parte integrante e sostanziale, che comporta il trattamento di dati personali di titolarità della Azienda;

• tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, previa valutazione di quanto imposto dal Regolamento (UE) n. 2016/679, il Titolare ha ritenuto che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento (UE) n. 2016/679 ed a garantire la tutela dei diritti e le libertà degli interessati coinvolti nelle suddette attività di trattamento;

• tale nomina non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti.

Tutto quanto sopra premesso

l’Azienda, in qualità di Titolare del Trattamento, con la presente

NOMINA

in attuazione alle disposizioni del Regolamento del Parlamento Europeo n. 2016/679/UE (nel seguito “GDPR”), Il Consorzio Metis (che nel corpo del testo sarà definito “Consorzio”), ai sensi dell’art. 28 del GDPR per il trattamento dei dati personali di cui è Titolare l’Azienda e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio di affidati dal Titolare al Responsabile.

Articolo 1 - Natura e finalità del trattamento

Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti e di cui al citato contratto/convenzione.

Articolo 2 - Categorie di dati personali trattati

Il Responsabile del trattamento per espletare le attività pattuite tra le Parti per conto del Titolare tratta direttamente o anche solo indirettamente le seguenti categorie di dati:

• dati personali, di cui all’art. 4 n. 1 del GDPR;

• dati rientranti nelle categorie “particolari” di dati personali (p.e. dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a

identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale della persona) di cui all’art. 9 del GDPR;

• dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza di cui all’art. 10 GDPR.

Articolo 3 - Categorie di interessati cui si riferiscono i dati trattati

Per effetto della presente nomina, le categorie di interessati i cui dati personali possono essere trattati, sono:

- pazienti/utenti;

- familiari dei pazienti/utenti;

- personale che opera a qualsiasi titolo e/o in forza di qualsivoglia atto all’interno Azienda (es. dipendenti, tirocinanti, interinale, ecc.).

Articolo 4 - Obbligo alla riservatezza

Trattandosi di dati personali e/o c.d. sensibili, il responsabile e i propri dipendenti e collaboratori sono tenuti alla assoluta riservatezza analogamente al segreto professionale e, così come previsto dal D.P.R. 62/20131 che il Responsabile si è impegnato a rispettare, al segreto d'ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando l’eventuale comunicazione e/o conoscenza da parte di soggetti non autorizzati.

Articolo 5 – Disponibilità e uso dei dati

Qualunque sia la finalità e la durata del trattamento effettuato da parte del Responsabile:

- i dati non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti e dovranno essere restituiti alla conclusione o revoca dell'incarico, o in qualsiasi momento il Titolare ne faccia richiesta;

- il Responsabile si impegna a non vantare alcun diritto sui dati e sui materiali presi in visione.

Coerentemente con quanto prescritto dal GDPR, è esplicitamente fatto divieto al Responsabile di inviare messaggio pubblicitari, commerciali e promozionali, e comunque di contattare gli “interessati” per finalità diverse da quelle nel presente atto.

Articolo 6 - Cessazione del trattamento

1

1xxxx://xxx.xxxxxxxxx.xxxxxxx.xx/xxxxxxxxxxx/xxxxxxx/000/Xxxxxx%00xx%00Xx

mportamento%20(28-06-16).pdf

Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare i dati personali acquisiti, pervenuti a sua conoscenza o da questi elaborati in relazione all’esecuzione del servizio prestato e, solo successivamente, si impegna a cancellarli dai propri archivi oppure distruggerli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.

Articolo 7 - Validità e Revoca della nomina

La presente nomina avrà validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.

La presente nomina non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo della protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Articolo 8 - Sub-responsabili

Il Responsabile del trattamento non potrà ricorrere ad altri Responsabili senza la preventiva autorizzazione specifica del Titolare del trattamento. In tale ipotesi il Responsabile dovrà inviare, a mezzo P.E.C., circostanziata e motivata richiesta al Titolare che avrà la facoltà di consentire o meno detta nomina.

Ai sensi dell’art. 28, par. 4 del GDPR, fermo restando quanto previsto al precedente paragrafo, quando un responsabile del trattamento ricorre a un altro responsabile del trattamento, per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.

Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

Articolo 9 - Designazione e autorizzazione degli incaricati

Il Responsabile del trattamento garantisce la puntuale individuazione dei soggetti operanti a qualsiasi titolo nella propria organizzazione quali soggetti autorizzati al trattamento.

In particolare, il Responsabile del trattamento si impegna a consentire l’accesso e il trattamento dei dati personali solo a personale debitamente formato e specificamente designato anche ai sensi dell’art. 2-quaterdecies del D.Lgs 196/2003 e s.m.i.

Il Responsabile si impegna ad effettuare per iscritto le nomine e limitare l’accesso e il trattamento ai soli dati personali necessari per lo svolgimento delle attività oggetto della Convenzione/Contratto.

Il personale autorizzato dovrà ricevere idonea e specifica formazione in relazione al rispetto delle misure organizzative e tecniche, in particolare alle misure di sicurezza adottate, adeguate ad assicurare la tutela dei dati personali trattati nel rispetto delle previsioni normative e della prassi in materia.

Nello specifico il Responsabile:

• individua le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;

• vigila regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;

• garantisce l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;

• verifica periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);

• cura la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.

Il Responsabile, su richiesta, invia al Titolare del trattamento a mezzo P.E.C. l’elenco nominativo con specifica evidenza delle relative mansioni dei soggetti autorizzati al trattamento dei dati personali svolti per suo conto e nell’ambito della Convenzione/Contratto.

Articolo 10 – Responsabile della protezione dei Dati

Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni dell’art. 37 del GDPR – si impegna a nominare e comunicare al Titolare il nominativo e i dati di contatto del Responsabile della Protezione dei Dati.

Articolo 11 - Diritti degli interessati

Premesso che l’esercizio dei diritti riconosciuti all’interessato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.

Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.

In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo e comunque non oltre le 72 ore dalla ricezione, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, ecc.) e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.

Articolo 12 - Registro dei trattamenti

Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:

• il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;

• le categorie dei trattamenti effettuati per conto del Titolare;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.

Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.

Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro.

Articolo 13 - Sicurezza dei dati personali

Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie e adeguate misure di sicurezza (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta.

Il Responsabile fornisce al titolare l’elenco delle adeguate misure di sicurezza adottate.

Articolo 14 - Sicurezza e Amministrazione del Sistema (ADS)

Il Responsabile fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.

Articolo 15 - Compiti e istruzioni per il Responsabile

Il Responsabile ha il potere ed il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.

Articolo 16 - Modalità di trattamento e requisiti dei dati personali

Il Responsabile si impegna:

• a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – specificamente designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal Contratto/Convenzione, in modo lecito e secondo correttezza, nonchè nel pieno rispetto delle disposizioni previste dal GDPR, nonchè, infine, dalle presenti istruzioni;

• non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del Contratto/Convenzione - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;

• collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;

• dare immediato avviso al Titolare in caso di cessazione dei trattamenti concordati;

• non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;

• in caso di ricezione di richieste specifiche avanzate dall’Autorità Garante per la protezione dei dati personali o altre autorità, a coadiuvare il Titolare per quanto di sua competenza;

• segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;

• coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate.

Articolo 17 - Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati

Il Responsabile deve:

• verificare la corretta osservanza delle misure previste dal Titolare in materia di archiviazione nel rispetto di quanto previsto dal precedente articolo 6, potendo derivare gravi conseguenze da accessi non autorizzati alle informazioni oggetto di trattamento;

• prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari e/o relative a condanne penali o reati degli interessati conosciuti, anche incidentalmente, in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;

• conservare, nel rispetto di quanto previsto dal precedente articolo 6, la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di dati personali;

• vigilare affinchè i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;

• sottoporre preventivamente al Titolare, per una sua formale approvazione, le richieste di dati da parte di soggetti esterni;

• non diffondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;

• segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare.

Articolo 18 – Violazione dei dati

Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 24 ore, con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) fornendo, altresì:

• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;

• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• la descrizione delle probabili conseguenze;

• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.

Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 33 - 34 del GDPR.

Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.

Articolo 19 - Valutazione di impatto e consultazione preventiva

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub - Responsabili.

Articolo 20 - Trasferimento dei dati personali

Il Responsabile del trattamento si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 CAPO V.

Articolo 21 - Attività di audit

Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato.

Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonchè dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile, senza che ciò possa far venire meno l’autonomia dell’attività di

impresa del Responsabile ovvero possa essere qualificato come ingerenza nella sua attività.

Articolo 22 - Ulteriori istruzioni

Il Responsabile comunica tempestivamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinchè il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.

Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorchè applicabile.

Articolo 23 - Codici di Condotta e Certificazioni

Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.

Articolo 24 – Norme finali e responsabilità

Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.

Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito della violazione, da parte del Responsabile o di suoi Sub – Responsabili, degli impegni relativi al rispetto della disciplina in materia di protezione dei dati personali o delle istruzioni contenute nei relativi atti di nomina anche in seguito a comportamenti addebitabili ai loro dipendenti, rappresentanti, collaboratori a qualsiasi titolo.

Firenze, lì            

p. Azienda USL Toscana Centro                 

p. Consorzio METIS