ONE HOSPITAL CLINICAL SERVICE CONVENZIONE CLINICAL SERVICE

ONE HOSPITAL CLINICAL SERVICE CONVENZIONE CLINICAL SERVICE

Azienda Ospedaliero Universitaria Sassari con sede all'indirizzo Xxxxx Xxx Xxxxxx, 00- 00000 Xxxxxxx (xxx di seguito Centro )
e Medtronic Italia S.p.A. con sede legale in Xxx Xxxxxxxx 000 – 00000 Xxxxxx (qui di seguito "Medtronic")

indicati nel presente documento individualmente come una “Parte” e collettivamente come le “Parti”

PREMESSA

A. Il gruppo Medtronic è un leader globale nel settore della ricerca, sviluppo, produzione, distribuzione e vendita di dispositivi medici, biologici, biotecnologici e servizi accessori ai dispositivi medici;

B. I Servizi Clinici Medtronic One Hospital ClinicalService sono una soluzione di supporto tecnico volto a fornire informazioni e analisi di dati clinici e dati dei dispositivi ai professionisti sanitari responsabili della cura dei pazienti, al fine di aiutare tali professionisti sanitari a migliorare i risultati clinici e i processi di cura dei pazienti;

C. L’Azienda Ospedaliero Universitaria Sassari è un'azienda pubblica di carattere sanitario accreditata con il Servizio Sanitario Nazionale. L’assistenza ospedaliera nell'ambito della AOU Sassari è garantita per mezzo di una rete aziendale formata da più presidi ospedalieri territoriali;

D. Il Presidio Ospedaliero “Ospedale Civile SS. Annunziata”, con sede legale in Xxxxx Xxx Xxxxxx x. 00 - 00000 Xxxxxxx ed afferente alla rete aziendale di cui al precedente punto C, è il beneficiario del servizio One Hospital ClinicalService oggetto della presente convenzione;

E. Per “Medico Interessato” si intende ciascun professionista sanitario operante presso il Centro

F. Il Centro desidera incaricare Medtronic di fornire al Centro il Servizio One Hospital ClinicalService per le terapie descritte nella Sezione 1 del presente Contratto; Medtronic, avendo una significativa esperienza, è disposta a fornire tale Servizio nei termini e nelle condizioni indicati di seguito.

G. La presente Convenzione decorre dalla data del 02.07.2024 (data di scadenza della precedente convenzione) ed avrà una durata triennale.

TUTTO CIÒ PREMESSO, le Parti concordano quanto segue:

1. SERVIZIO

1.1 Medtronic presterà il servizio One Hospital ClinicalService (il Servizio) come descritto nell'Allegato A (Descrizione del Servizio). I termini del Servizio potranno essere modificati solo previo consenso scritto delle Parti.

1.2 Medtronic metterà a disposizione del Centro tutte le proprie competenze e conoscenze relative all'oggetto della presente Convenzione e collaborerà a tutte le ragionevoli richieste del Centro.

1.3 Medtronic svolgerà il Servizio in modo fedele e diligente in conformità ai più elevati standard professionali al fine di raggiungere le finalità e gli obiettivi che le parti potranno concordare in forma scritta.

1.4 Medtronic potrà aggiornare o altrimenti modificare in ogni momento le modalità di fornitura del Servizio e i relativi strumenti tecnologici, dandone preventiva comunicazione al Centro.

1.5 Medtronic fornirà al Centro relazioni scritte e/o report statistici e parteciperà a regolari incontri con il Centro stesso. La frequenza di tali relazioni, report ed incontri sarà definita di comune accordo dalle Parti.

1.6 Le parti concordano che il Servizio è associato ai prodotti Medtronic già utilizzati dal Centro per la terapia oggetto del Servizio , con l’obbiettivo di garantirne la sicurezza e migliorare l'uso dei prodotti nonchè la cura del paziente.

1.7 Le parti concordano che il Servizio è relativo alla seguenti Terapie e relativi prodotti: Pazienti sottoposti a procedura di sostituzione valvolare aortica transcatetere.

1.8 ll Centro riconosce ed accetta che i dati pseudonimizzati dei pazienti potranno essere aggregati con i dati pseudonimizzati di altri centri ospedalieri al fine di consentire a Medtronic l’analisi di dati aggregati per conto del Centro stesso. A seguito della sottoscrizione della Convenzione da parte dell’amministrazione ospedaliera il medico interessato sarà considerato autorizzato dalla stessa a richiedere a Medtronic le suddette analisi statistiche di dati aggregati.

2. OBBLIGHI DEL CENTRO

2.1 Il Centro riconosce che ai fini dell’esecuzione del Servizio da parte di Medtronic, è richiesta la ragionevole collaborazione del Centro stesso e del relativo personale. Il Centro riconosce inoltre di dover svolgere tempestivamente e correttamente le attività identificate come obblighi del Centro stesso nell'Allegato A.

2.2 Prima dell'inizio dell’erogazione del Servizio da parte di Medtronic nonché qualora il Centro fosse interessato ad usufruire del Servizio per un’ulteriore terapia, il Centro stesso, ove necessario, dovrà:

▪ ottenere tutte le autorizzazioni interne ed esterne necessarie, secondo quanto disposto dalla normativa vigente; e

▪ ottenere tutte le approvazioni di natura regolatoria e/o da parte dei comitati etici anche attraverso il supporto di Medtronic, ove necessario, nel rispetto della normativa applicabile;

Medtronic non sarà tenuta a fornire il Servizio qualora i requisiti sopra elencati non siano soddisfatti.

2.3 Il Centro inoltre dichiara e garantisce che non ci sono obblighi attuali o accordi che siano incongruenti o in conflitto con la stipula o l’esecuzione delle attività descritte nella presente Convenzione.

2.4 Il Centro dovrà preservare e proteggere la riservatezza e la sicurezza di tutti gli identificativi e delle password relativi ai profili utente creati ai fini della fornitura del Servizio e sarà considerato responsabile per qualsiasi conseguenza dovesse derivare dalla rivelazione degli stessi.

3. RISERVATEZZA

3.1 Per Informazione riservata si intende qualsiasi informazione divulgata o resa disponibile durante il periodo di validità del presente Contratto da una delle parti (la “parte divulgante”) all'altra parte (la “parte ricevente”) che:

a. sia un’informazione identificata come riservata al momento della divulgazione o entro un lasso di tempo ragionevole dalla divulgazione,

b. sia un’informazione non di dominio pubblico correlata a dispositivi medici o terapie; lavori di ricerca o sviluppo; specifiche o informazioni tecniche; piani di business come ad esempio informazioni finanziarie, di marketing o vendite, o

c. sia contenuta nella presente Convenzione, fatte salve le norme inderogabili in materia di libertà di informazione.

3.2 La Parte alla quale sono state divulgate informazioni riservate dall'altra Parte manterrà la riservatezza in merito alle informazioni riservate, che proteggerà da accessi non autorizzati adottando lo stesso grado di diligenza utilizzato per proteggere le proprie informazioni riservate di pari importanza, e comunque con un grado di cura non inferiore a un ragionevole livello di diligenza.

3.3 Fatto salvo quanto stabilito nella presente Convenzione, la parte ricevente non divulgherà le informazioni riservate a terzi senza il previo consenso scritto della parte divulgante. Una società affiliata di Medtronic non sarà considerata un soggetto terzo.

3.4 Le restrizioni e gli obblighi di riservatezza non si applicano a informazioni riservate di una delle parti:

▪ riguardo alle quali sia possibile dimostrare che la parte ricevente ne era a conoscenza o le aveva sviluppate in precedenza, a prescindere, o indipendentemente, da qualsiasi divulgazione della parte divulgante alla parte ricevente;

▪ che siano divulgate senza restrizioni alla parte ricevente in buona fede da un soggetto terzo che ne sia legittimamente in possesso e che abbia il diritto di effettuare tale divulgazione;

▪ che siano o diventino di dominio pubblico o diventino altrimenti disponibili per la parte ricevente con una modalità diversa da una violazione del presente contratto o di qualsiasi altro obbligo di riservatezza.

3.5 Nel caso in cui un’Autorità pubblica richiedesse l'accesso ad informazioni riservate, la parte ricevente (nei limiti stabiliti dalla Legge in materia) informerà la parte divulgante di tale divulgazione e presenterà un parere legale a supporto della necessità di tale divulgazione.

3.6 La parte divulgante detiene ogni diritto, titolo e interesse sulle proprie informazioni riservate. Fatto salvo quanto espressamente stabilito nella presente Convenzione, nessuna divulgazione di informazioni riservate sarà ritenuta tale da concedere a ciascuna delle parti qualsivoglia licenza, interesse o altro diritto di proprietà intellettuale su tali informazioni riservate.

3.7 Al termine o alla scadenza della presente Convenzione per qualsiasi motivo, la parte ricevente dovrà, su richiesta, compiere ragionevoli sforzi per restituire alla parte divulgante tutti i dati, le informazioni e i materiali di qualsiasi tipo che costituiscono informazioni riservate; fermo restando che la parte ricevente potrà detenere e mantenere riservate le copie o gli originali di tali documenti secondo quanto richiesto dalle leggi e dai regolamenti locali e a fini di prova giuridica.

4. PROTEZIONE DEI DATI

4.1 Le Parti riconoscono e accettano di elaborare tutti i dati personali ai sensi della presente Convenzione in conformità con i rispettivi obblighi previsti dalla legge applicabile sulla protezione dei dati. Salvo diversa definizione nella presente Convenzione (compresi tutti i suoi allegati), i termini in maiuscolo utilizzati nel presente articolo 4 avranno il significato loro assegnato ai sensi del Regolamento generale sulla protezione dei dati dell'UE (Regolamento UE 2016/679 o “GDPR”) o avranno il significato equivalente a qualsiasi altra legge applicabile sulla protezione dei dati.

Medtronic agisce in qualità di Responsabile del trattamento e il Centro agisce in qualità di Titolare in relazione al trattamento dei dati personali da parte di Medtronic per conto del Centro , allo scopo di fornire i Servizi previsti dalla Convenzione ("Dati personali del Servizio"). A tal fine, le Parti accettano i termini e le condizioni delle Clausole sul trattamento dei dati, allegate alla presente Convenzione e contenute nell’ Allegato B. Il Centro accetta che, fatte salve le disposizioni inderogabili di legge in materia, le Clausole sul trattamento dei dati contengono l'insieme degli obblighi di Medtronic nei confronti del Centro in relazione al trattamento dei dati personali dei servizi da parte di Medtronic ai sensi della presente Convenzione.

4.2 Qualora il Servizio comporti il trattamento di dati personali dei pazienti del Centro, quest'ultimo sarà responsabile dell'ottenimento del consenso esplicito e legittimo dei pazienti, se necessario, come definito dalla legge applicabile sulla protezione dei dati, prima di condividere qualsiasi dato personale del paziente con Medtronic.

4.3 Il Centro inserirà i dati personali rilevanti dei pazienti in un sistema elettronico di acquisizione dati messo a disposizione da Medtronic, che comprende specifiche Schede di Raccolta Dati ("Case Report Forms", CRF). Tutti i dati dei pazienti forniti dal Centro a Medtronic in virtù della presente Convenzione saranno automaticamente pseudonimizzati nel momento in cui gli stessi vengono inseriti nel sistema di acquisizione elettronica dei dati. Medtronic non riceverà dal Centro informazioni che consentano l'identificazione dei pazienti.

4.4 In caso di conflitto tra le Clausole sul trattamento dei dati (Allegato B) e la presente Convenzione, i termini delle Clausole sul trattamento dei dati prevarranno in relazione a tale conflitto o incoerenza.

4.5 Fatta salva la generalità di quanto precede, ciascuna parte ha il diritto di trattare, in qualità di Titolare del trattamento o preposto delegato separato, i dati personali dei dipendenti, del personale e dei collaboratori dell'altra parte per scopi accessori all'entrata in vigore e alla gestione della Convenzione, anche per il mantenimento delle relazioni commerciali e per scopi amministrativi correlati. Medtronic tratterà i dati personali dei dipendenti, del personale e dei collaboratori del Centro ("Dati delCentro ") per le finalità di cui sopra in conformità all'Informativa sulla privacy di Medtronic disponibile all'indirizzo xxxxx://xxxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxx- statement.html. Il Centro si impegna a informare i propri dipendenti, il personale e i collaboratori di tale trattamento dei dati da parte di Medtronic e a fornire assistenza a Medtronic nell'ottenimento di eventuali consensi laddove richiesto dalla normativa vigente.

4.6 Fatte salve le disposizioni del presente articolo 4, il Centro riconosce e accetta che Medtronic potrà rendere anonimi, aggregare o altrimenti de-identificare i Dati personali legittimamente ricevuti o creati nell’ambito del Servizio e utilizzare tali dati anonimi, aggregati o altrimenti de-identificati al fine di garantire la qualità e la sicurezza dei prodotti e dei servizi Medtronic. Con riferimento a tali dati Medtronic sarà considerato il solo responsabile. Il Centro informerà i soggetti interessati di tale trattamento dei dati da parte di Medtronic.

5. PROPRIETÀ INTELLETTUALE

5.1 Il software, i sistemi, i processi, l'interfaccia utente, il design, il know-how e le altre tecnologie fornite da Medtronic nell'ambito del Servizio sono di proprietà di Medtronic e dei suoi licenziatari e tutti i relativi diritti, titoli ed interessi, compresi tutti i diritti di proprietà intellettuale associati, restano di proprietà esclusiva di Medtronic e dei suoi licenziatari. Il Servizio è protetto dalle leggi sulla proprietà intellettuale. ll Centro non dovrà rimuovere alcun identificativo, copyright, marchio o altra informazione dal Servizio.

Non sono previste licenze implicite nella presente Convenzione e tutti i diritti non espressamente concessi alCentro restano prerogativa di Medtronic o dei suoi licenziatari.

5.2 Medtronic e il Centro saranno i titolari delle idee, invenzioni (brevettabili o meno), migliorie e know-how sviluppati a partire dalla Data di Efficacia e compresi nell’oggetto del presente Contratto - da, rispettivamente, solo rappresentanti di Medtronic o solo rappresentanti del Centro, e, per Medtronic, da rappresentanti di società affiliate a Medtronic.

5.3 Il Centro è l’esclusivo titolare dei Dati e dei risultati derivanti dalla raccolta ed elaborazione degli stessi tramite l’utilizzo del Servizio. Il Centro non fornirà (né direttamente né attraverso i propri Medici) nessuna idea o invenzione a Medtronic utilizzando il Servizio o attraverso altri mezzi di comunicazione, se non a fronte di un separato accordo da stipularsi tra il Centro e Medtronic che regoli tale attività.

6. VALORE DEL SERVIZIO

6.1 Medtronic fornisce il Servizio nell'ambito di un'iniziativa commerciale indipendente non correlata o legata in alcun modo alla vendita di prodotti o altri servizi Medtronic al Centro. Le Parti riconoscono e confermano che il Servizio fornito al Centro non intende creare alcuna aspettativa in merito all'acquisto di prodotti, servizi Medtronic o al prezzo di tali prodotti e servizi. Nulla di ciò che è contenuto nella presente Convenzione potrà essere interpretato quale obbligazione o induzione del Centro ad acquistare, ordinare, prescrivere o raccomandare prodotti Medtronic .

7. VIGILANZA

7.1 Il Centro, in forza degli obblighi previsti dalla normativa sui dispositivi medici Reg (UE) 2017/745 (MDR) e dalla linea guida MEDDEV 2.12-1 è tenuto a comunicare immediatamente al Ministero della Salute qualsiasi alterazione delle caratteristiche e delle prestazioni di un dispositivo o qualsiasi inadeguatezza nelle istruzioni per l’uso che possano causare o che abbiano causato il decesso o il grave peggioramento delle condizioni di salute di un paziente o di un operatore.

7.2 Il Centro riconosce ed accetta che Medtronic può analizzare i dati pseudonimizzati raccolti nell’ambito del Servizio e riferire all’Autorità Competente se richiesto nell’ambito dei suoi obblighi di vigilanza ed in ottemperanza a quanto previsto dalla normativa sui dispositivi medici Reg. (UE) 2017/745 (MDR) e MEDDEV 2.12-12

Nell’ambito di tali finalità le Parti concordano che Medtronic agisce in qualità di Titolare del Trattamento.

8. TERMINE E RISOLUZIONE

8.1 La presente Convenzione sarà efficace a partire dalla data del 02.07.2024 (“Data di entrata in vigore”) e rimarrà in vigore per 3 anni (“Data di scadenza 01.07.2027”) salvo che non venga risolto prima nelle forme stabilite alla clausola 8.3. La durata può essere altresì prorogata solo previo accordo scritto tra le Parti.

8.2 In caso di estensione del Servizio ad ulteriori terapie e prodotti dopo la data di sottoscrizione della presente Convenzione, ogni estensione successiva non supererà la data di scadenza di cui all'articolo 8.1. In conformità con quanto disposto all’Articolo

11.4, Medtronic informerà il Centro di tale estensione a mezzo Pec al fine di renderla valida ed efficace e di ottenere la Sua autorizzazione.

8.3 Entrambe le Parti potranno risolvere la presente Convenzione senza giusta causa, previa comunicazione scritta alla controparte con un preavviso di trenta (30) giorni. La conclusione della presente Convenzione significherà la conclusione automatica di eventuali Allegati sulla terapia attivi al momento della risoluzione.

8.4 Qualora una qualunque Parte della presente Convenzione dovesse violare una qualunque delle sue previsioni e tale violazione fosse suscettibile di essere rimediata, la Parte pregiudicata avrà facoltà di contestare per iscritto la violazione alla Parte inadempiente. Se tale inadempienza non è rimediata entro 10 (dieci) giorni dalla contestazione di cui sopra, la Parte che ha contestato la violazione potrà immediatamente risolvere la presente Convenzione tramite comunicazione scritta alla Parte inadempiente. La mancata risoluzione da parte di una Parte a seguito di inadempimento dell’altra Parte non costituirà rinuncia alla risoluzione per inadempimenti successivi.

9. NATURA DEI SERVIZI, ESCLUSIONE DI GARANZIE E RESPONSABILITÀ

9.1 I Servizi forniti da Medtronic sono da intendersi come supporto tecnico al Centro e al suo personale per la raccolta, la gestione, l'analisi e la segnalazione dei dati e non costituiscono una consulenza medica o un supporto per l'esecuzione di un'indagine clinica come definito nel Regolamento UE sui dispositivi medici. I Servizi non sono da intendersi come strumenti per la prestazione di servizi medici e altri servizi sanitari, finalizzati al trattamento dei pazienti. Il Centro riconosce specificatamente che il Servizio non solleva in alcun modo il Centro stesso e il suo personale dall'obbligo di eseguire adeguate valutazioni cliniche per stabilire il trattamento appropriato per i pazienti.

9.2 Medtronic non garantisce alcun risultato auspicato dal Centro .

9.3 MEDTRONIC NON SARÀ RESPONSABILE NEI CONFRONTI DEL CENTRO PER EVENTUALI PERDITE O DANNI DI QUALSIASI TIPO DERIVANTI DALLA FORNITURA DEL SERVIZIO DI CUI ALLA PRESENTE CONVENZIONE, SALVO E NELLA MISURA IN CUI TALI PERDITE O DANNI SIANO CAGIONATI DIRETTAMENTE DA GRAVE NEGLIGENZA DI MEDTRONIC O VIOLAZIONI DELLA PRESENTE CONVENZIONE.

9.4 MEDTRONIC NON SARÀ RESPONSABILE DI ALCUN DANNO INDIRETTO O CONSEQUENZIALE, QUALI, A MERO TITOLO DI ESEMPIO, PERDITA DI PROFITTO, DANNI REPUTAZIONALI, PERDITA O MODIFICA DI DATI, ACCESSO NON AUTORIZZATO O A QUALSIASI IMPATTO DEL SERVIZIO SUL SISTEMA UTILIZZATO O SU QUALSIASI ALTRO SISTEMA DEL CENTRO .

11. UTILIZZO DEI DATI

10.1 Il Centro potrà, a propria discrezione, sviluppare e pubblicare le informazioni fornite ai sensi della presente Convenzione.

10.2 Per ciascuna pubblicazione o presentazione di informazioni o parte di esse, il manoscritto dell'articolo, dell'abstract o di altri materiali sarà fornito dal Centro a Medtronic prima della sottomissione per la pubblicazione. Tale documento, abstract o altro materiale dovrà includere una dichiarazione completa, chiara e preminente che indichi la fonte del supporto per le analisi.

Medtronic avrà il diritto di :

a) Verificare la correttezza dal punto di vista tecnico di quanto attiene ai prodotti Medtronic

b) Verificare se sono state rivelate informazioni riservate;

c) Verificare che il supporto fornito al Centro sia stato adeguatamente esplicitato

12. PREVISIONI GENERALI

12.1 Il Centro e Medtronic hanno strutturato la presente Convenzione in conformità a tutte le leggi applicabili, ai requisiti legali e normativi, incluso, ma non limitatamente, al Codice di Pratica Commerciale Etica di MedTech Europe.

12.2 Il Centro dichiara di essere perfettamente edotto e consapevole del Codice Etico e del Modello Organizzativo adottato da Medtronic in conformità alla disciplina introdotta con il D. Lgs. 8 giugno 2001 n. 231 in materia di “responsabilità amministrativa”, della cui normativa dichiara di essere altresì a conoscenza. Il Centro si impegna al pieno rispetto delle previsioni contenute nel Decreto Legislativo 231/2001 e successive modifiche. Medtronic avrà la facoltà di risolvere in qualsiasi momento e con effetto immediato la presente Convenzione, ai sensi dell’art. 1456 del Codice Civile, informando il Centro

mediante raccomandata A.R. nel caso di violazione, da parte del Centro di uno qualsiasi degli obblighi di condotta qui previsti incluso il caso in cui il Centro o alcuno dei suoi dipendenti e/o consulenti sia coinvolto, in qualità di indagato, in una indagine di tipo penale, in relazione a reati rilevanti ai sensi del Decreto Legislativo 231/2001, indagini che il Centro si impegna a comunicare tempestivamente a Medtronic. Resta inteso che il Centro si impegna a far sì che i propri dipendenti e/o consulenti adempiano agli obblighi previsti nel presente articolo.

Qualsiasi violazione delle previsioni contenute nel presente articolo e, pertanto, l’inosservanza dei principi e delle regole contenute di cui al d.lgs. 231/2001 costituirà inadempimento di grave importanza agli obblighi della presente Convenzione ai sensi dell’art. 1453 c.c. e comporterà la sua immediata risoluzione ai sensi e per gli effetti dell’art. 1456 c.c., senza necessità di ulteriore comunicazione, fatto salvo il risarcimento del danno. La parte inadempiente terrà l’altra parte manlevata ed indenne da qualsiasi pretesa, danno o conseguenza derivante a terzi da tale violazione.

12.3 Ciascuna Parte sarà considerata contraente indipendente a tutti gli effetti. Nessuna delle due parti sarà considerata un agente, rappresentante o dipendente dell'altra parte per qualsiasi scopo. A eccezione di quanto esplicitamente previsto nella presente Convenzione, nessuna delle due parti potrà assumersi alcuna responsabilità per conto dell'altra parte, né sarà vincolata ad alcun obbligo contrattuale o di pagamento senza il previo consenso scritto di tale parte.

12.4 La presente Convenzione costituisce la piena intesa tra le parti e qualsiasi partecipante, nominato o meno, alle attività contemplate dalla presente Convenzione, in riferimento all’oggetto dello stesso. Nessun emendamento, modifica, estensione o variazione della presente convenzione sarà valido e vincolante tranne nel caso in cui sia in forma scritta e firmato dalle Parti. La presente convenzione può essere firmata in uno o più esemplari, che insieme costituiscono un unico contratto e ognuno dei quali può ugualmente attestare il presente contratto.

12.5 La presente Convenzione e qualsiasi contenzioso o pretesa da esso derivante o ad esso connesso è disciplinato e deve essere interpretato ai sensi della legge italiana. Ogni Parte accetta irrevocabilmente che il tribunale di Milano sarà il foro esclusivo competente per qualsiasi controversia dovesse insorgere tra le Parti nell’esecuzione o interpretazione della presente Convenzione.

Se una previsione o una parte della presente Convenzione dovesse essere o diventare invalida, ciò non pregiudicherà la validità della restante parte della Convenzione. Lo stesso deve ritenersi valido in caso di impossibilità di una previsione. Le Parti concorderanno una valida ed efficace previsione a sostituzione della previsione invalida o impossibile che sia il più vicina possibile al significato della previsione che viene sostituita. Lo stesso si applica a qualsiasi lacuna nella regolamentazione contrattuale. Nella misura in cui l’invalidità si riferisca ad un certo periodo di tempo, tale periodo dovrà essere concordato come il periodo di tempo più vicino a quello originariamente concordato. Il testo ufficiale della presente Convenzione è in lingua inglese. Qualora le Parti firmino o eseguano una versione della presente Convenzione in un'altra lingua, qualsiasi interpretazione o ricostruzione dello stesso si baserà esclusivamente sul testo in lingua inglese.

12.6 Medtronic, a sua esclusiva discrezione, ha il diritto di attuare qualsiasi obbligo ai sensi della presente Convenzione attraverso un'Affiliata e condividere o trasferire qualsiasi beneficio o tutela derivante dallo stesso tra le sue Affiliate. Tale condivisione e/o trasferimento non ha ad oggetto i dati personali trattati da Medtronic nell’erogazione del Servizio. Con “Affiliata” s'intende Medtronic PLC, Società irlandese, e tutte le entità di proprietà di Medtronic PLC, ovvero un'entità presso cui Medtronic PLC abbia un interesse di proprietà diretto o indiretto pari ad almeno il 50%.

12.7 Nessuna Parte userà il nome, denominazione commerciale, marchio o logo dell’altra Parte, né per iscritto né oralmente, senza autorizzazione scritta dell’altra Parte.

12.8 Tutte le comunicazioni, domande, richieste, dichiarazioni, relazioni, o ogni altra comunicazione permessa o richiesta ai sensi della presente Convenzione deve essere inoltrata alle Parti agli indirizzi indicati nella prima pagina della presente Convenzione e deve intendersi come validamente effettuata se inoltrata a mezzo raccomandata a ciascuna delle Parti a tali indirizzi. Ciascuna Parte può, dandone comunicazione all’altra, cambiare il suo indirizzo.

* * * * * * * * * * * *

IN FEDE DI CHE, le Parti hanno sottoscritto la presente Convenzione mediante i propri rappresentanti debitamente autorizzati.

Medtronic Italia S.p.A.

Xxxxxxx Xxxxxxxxx Un Procuratore

Azienda Ospedaliero Universitaria Sassari

Data     

Data:      

Il Legale Rappresentante

Allegato A

One Hospital ClinicalService - Italia Descrizione del servizio

Premessa

Medtronic intende contribuire al benessere umano applicando le scienze biomedicali alla ricerca, alla progettazione, alla produzione e alla applicazione di tecnologie mediche che alleviano il dolore, ridonano la salute e prolungano qualitativamente la vita.

Nell’ambito del servizio proposto in questo documento, Medtronic vuole fornire ai medici mezzi per migliorare gli esiti e la comprensione delle strategie diagnostiche e terapeutiche intraprese in pazienti portatori di dispositivi impiantabili.

Cosa è il servizio One Hospital ClinicalService

Il servizio One Hospital ClinicalService - ClinicalService Italia (ClinicalService) consiste in un supporto tecnico nella raccolta, gestione, analisi e reportistica dei dati di pazienti portatori di dispositivi impiantabili Medtronic o trattati con o candidati a terapie Medtronic. Il servizio viene erogato attraverso un sistema informativo dedicato e un gruppo di specialisti messi a disposizione da Medtronic.

A chi si rivolge il servizio One Hospital ClinicalService

Il servizio One Hospital ClinicalService è offerto a tutti quei medici che per la diagnosi o il trattamento dei propri pazienti si avvalgono di dispositivi o terapie fornite da Medtronic.

Tipologia dei dati gestiti nel servizio One Hospital ClinicalService

Nell’ambito del servizio One Hospital ClinicalService possono essere trattati dati clinici e dati diagnostici (per i dispositivi che ne permettono la memorizzazione) raccolti da ciascun centro in occasione di visite ambulatoriali, visite effettuate mediante controllo in remoto, o mediante l’utilizzo di applicazioni mobili (ove previsto), o altre circostanze secondo la propria pratica clinica. I dati raccolti si riferiscono ai pazienti, in cura presso le strutture sanitarie aderenti al servizio, i quali abbiano previamente manifestato il proprio consenso al trattamento dei dati personali.

Ai fini della raccolta dei dati clinici, viene messo a disposizione del medico partecipante un set di moduli. La filosofia, con la quale tali moduli sono stati sviluppati, prevede che su di essi possano essere riportate le informazioni raccolte per le normali necessità di pratica clinica di ciascun ospedale, indipendentemente dalla partecipazione a questo servizio, e compatibili all’ambito specifico d’interesse diagnostico o terapeutico. Medtronic propone ClinicalService come strumento per dare supporto alla gestione dei pazienti portatori di dispositivi impiantabili Medtronic o sottoposti o candidati a terapie Medtronic, relativamente a tutti i prodotti/terapie Medtronic attualmente in commercio ed a quelli che saranno immessi sul mercato in futuro: si tratta e si tratterà sempre e solo di dispositivi/terapie dotate di marchiatura CE.

Scopo del servizio ClinicalService

L’obiettivo generale del servizio è assistere i medici che si avvalgono di prodotti o terapie Medtronic già in uso all’interno delle stutture aziendali nella visualizzazione degli esiti clinici e gestionali delle strategie diagnostico/terapeutiche intraprese nella propria pratica clinica. Tale servizio ha lo scopo di rendere più facilmente accessibili i dati clinici e diagnostici dei pazienti trattati e le informazioni relative all’evoluzione delle loro condizioni cliniche. Il servizio prevede la fornitura ai medici di report periodici. L'integrazione tra dati tecnici e diagnostici correlati all'utilizzo dei dispositivi impiantabili e le informazioni disponibili sulle caratteristiche generali, sulla storia medica e sull’evoluzione clinica del paziente può permettere al medico di incrementare sempre più le proprie opzioni di gestione del paziente ed ottimizzazione delle terapie, ma anche di comprendere meglio i risultati delle scelte terapeutiche intraprese per pratica clinica. Ovviamente il servizio non si propone alcuna attività di tipo medico, la cui responsabilità è integralmente demandata ai medici coinvolti.

Obiettivi specifici del servizio ClinicalService

Gli obiettivi specifici e misurabili di questo servizio riguardano la fornitura di report e l’elaborazione di analisi statistiche a posteriori.

Per quanto riguarda la fornitura di report, esiste un insieme di report predefiniti che vengono periodicamente messi a disposizione del medico responsabile di ciascun centro.

I medici responsabili possono richiedere produzioni ad hoc dei report suddetti.

Le caratteristiche di tali report e la loro periodicità di produzione, oltre che le condizioni di fornitura per le richieste ad hoc, vengono presentate ai medici nel momento in cui viene da questi valutato l’accesso al servizio.

Finalità cliniche del servizio ClinicalService

La gestione clinica di pazienti affetti da malattie croniche invalidanti e portatori di dispositivi impiantabili attivi o trattati con terapie evolute può essere ulteriormente migliorata mettendo a disposizione del medico specialista dei sistemi di monitoraggio dei dati clinici e diagnostici dei pazienti. Tali dati riguardanti le modalità di funzionamento e/o

la programmazione dei dispositivi, ma anche parametri correlati alle condizioni cliniche del paziente, possono permettere al medico curante di valutare in modo sempre più approfondito l’evoluzione della patologia e la efficacia delle terapie di ciascun paziente o di popolazioni omogenee di pazienti.

Le analisi statistiche fornite nell’ambito del servizio permettono ai medici partecipanti al servizio di perseguire numerose finalità tra cui:

▪ la descrizione e valutazione dettagliata della propria pratica clinica

▪ l’identificazione di pazienti con determinati fattori di rischio o candidati a determinate terapie secondo le linee guida pubblicate

▪ la realizzazione di valutazioni di tipo economico/gestionale su determinate procedure diagnostiche o terapeutiche

L’importanza di tale servizio dipende anche dal fatto che alcune delle informazioni diagnostiche memorizzate dai dispositivi, attualmente disponibili all’utente finale solo in forma grafica (e non numerica), necessitano di una elaborazione per essere opportunamente utilizzate, per essere visualizzate lungo tutto il periodo di follow-up di ciascun paziente, per essere valutate in modo trasversale, ossia per gruppi omogenei di pazienti, o per essere associate ad informazioni cliniche. L’importanza del progetto One Hospital ClinicalService deriva anche dalla possibilità di migliorare la conoscenza delle terapie applicate e, di conseguenza, la qualità della cura dei pazienti seguiti nel progetto, attraverso l’analisi di dati a livello multicentrico (qualora un centro scelga di voler condividere informazioni con altri centri nell’ambito di esperienze comuni).

Finalità scientifica del servizio One Hospital ClinicalService

Nel servizio One Hospital ClinicalService, per le finalità cliniche sopra descritte, viene costituita una banca dati. Tale banca dati, su richiesta dei medici dei centri aderenti al servizio, può essere interrogata in modo retrospettivo per realizzare analisi statistiche a livello dei dati del singolo centro o a livello multicentrico (qualora un centro scelga di voler condividere dati, esperienze, ipotesi, idee con altri centri). Tali finalità scientifiche sono comunque da intendersi sempre a supporto dei centri che hanno aderito al servizio.

Inclusione e follow-up dei pazienti nel servizio One Hospital ClinicalService

Il medico responsabile del servizio, in funzione delle proprie casistiche, necessità cliniche e disponibilità di tempo, definisce per quanti e quali dei propri pazienti desidera avvalersi del servizio One Hospital ClinicalService. E’ compito del medico responsabile del servizio informare i pazienti per cui desidera utilizzare il servizio riguardo le finalità del medesimo, ottenerne il relativo consenso, iniziare la raccolta dei dati clinici e diagnostici e successivamente trasmettere a Medtronic tali dati i quali, una volta immessi nel sistema elettronico di raccolta dati o nel database elettronico, saranno automaticamente pseudonimizzati e criptati. (nota: il dato è considerato pseudo-anonimo e non anonimo perché il progetto gestisce alcune informazioni che sono

associate in modo univoco a specifici pazienti, come ad esempio un codice paziente utilizzato dall’ospedale oppure il numero di serie del dispositivo ricevuto da uno specifico paziente).

La raccolta dei dati viene effettuata dal medico utilizzatore del servizio o sotto la sua supervisione mediante un sistema internet di “Electronic Data Capture”. Quando la tecnologia lo consente la raccolta dei dati clinici può essere integrata con la raccolta di dati tecnico-diagnostici memorizzati dal dispositivo che il medico può allegare attraverso la piattaforma di raccolta dati o che possono essere salvati attraverso il sistema CareLink Network per la gestione delle trasmissioni di follow-up remoto.

Caratteristiche del servizio One Hospital ClinicalService

Il servizio One Hospital ClinicalService è gratuito, non comporta alcun costo diretto o carico di lavoro che possa considerarsi aggiuntivo rispetto alla normale pratica clinica.

Il ruolo di Medtronic

Medtronic Italia fornisce supporto organizzativo, si incarica della gestione degli strumenti informatici e delle piattaforme di gestione dati necessarie, si fa carico delle analisi dei dati per la produzione della reportistica dei dati e per eventuali revisioni complessive o di tipo linguistico (utilizzando Società o collaboratori esterni esperti del settore) considerate scientificamente rilevanti, secondo quanto richiesto dai medici e con la supervisione scientifica e metodologica degli stessi. Medtronic si impegna inoltre nel controllo e nel miglioramento della qualità dei dati con valutazioni e report sulla presenza, congruenza e attendibilità dei dati raccolti.

Medtronic, come fornitore dei servizi di raccolta e gestione dati, si configura come responsabile del trattamento dei dati. Ovviamente il Servizio non si propone alcuna attività diretta di tipo medico, la cui responsabilità è integralmente demandata ai medici responsabili.

Il servizio previsto sarà fornito compatibilmente con l’effettiva disponibilità dei dati (diagnostici, tecnici o clinici) necessari alla redazione dei report previsti.

Medtronic Italia può decidere unilateralmente riguardo alla fattibilità di eventuali richieste di analisi dati.

Il ruolo del medico e del centro ospedaliero

Il centro ospedaliero detiene un potere autonomo in merito alla definizione delle modalità e delle finalità per cui il trattamento di dati personali viene effettuato. Pertanto il centro ospedaliero ricopre il ruolo di titolare del trattamento o preposto delegato dei dati, secondo la definizione fornita dal Regolamento Generale sulla Protezione dei Dati (UE) 2016/679

I Servizi potranno essere erogati esclusivamente in relazione ai Pazienti che abbiano previamente prestato il loro consenso scritto al trattamento dei propri dati personali, anche da parte di Medtronic in forma pseudonimizzata, attraverso la sottoscrizione di apposita informativa in materia di protezione dei dati personali e consenso.

Il Centro (direttamente o attraverso i propri Medici) si impegna a procurarsi la sottoscrizione da parte del Paziente della informativa in materia di protezione dei dati personali e relativo consenso (“Dichiarazione Sottoscritta”) e conservare l’originale della Dichiarazione Sottoscritta insieme alla documentazione relativa a ciascun Paziente.

Il servizio Clinical Service è strutturato in modo che le informazioni siano trasmesse a Medtronic prive di specifici dati identificativi dei pazienti interessati, come ad esempio il codice fiscale.

Il medico stesso sarà responsabile della qualità del contenuto informativo dei dati. Medtronic raccomanda inoltre che il medico mantenga nel proprio archivio le informazioni cliniche che costituiscono la sorgente delle informazioni inviate.

I dati raccolti devono essere protetti da accessi non autorizzati.

Il medico riceve dal servizio ClinicalService quanto segue

a) Credenziali di accesso ed utilizzo di una piattaforma di raccolta e visualizzazione dati (via internet) dove inserire i dati clinici e i dati diagnostici di ciascun paziente e visualizzare i dati clinici inseriti.

b) Report periodici predefiniti

c) Possibilità di proporre modifiche dei report esistenti volte alla ottimizzazione della loro utilità e di suggerire/supervisionare lo sviluppo di nuovi strumenti di reportistica (Medtronic Italia si riserva il diritto di valutare la fattibilità delle richieste e discuterà con il medico riguardo alla fattibilità e agli eventuali tempi e periodi di consegna).

d) Possibilità di ricevere analisi statistiche retrospettive sui dati clinici e diagnostici della propria popolazione di pazienti (Medtronic Italia si riserva il diritto di valutare la fattibilità delle richieste e discuterà con il medico riguardo alla fattibilità e agli eventuali tempi e periodi di consegna).

Servizi di Reportistica

Il servizio One Hospital ClinicalService prevede la produzione e distribuzione di diverse tipologie di report, di cui le principali sono:

Report paziente

Qualsiasi report prodotto in formato testuale e/o grafico che contenga informazioni cliniche e/o da dispositivo riferite ad un singolo paziente e destinato al solo centro di appartenenza del paziente.

Report di coorte

Qualsiasi report prodotto in formato testuale e/o grafico che contenga informazioni cliniche e/o da dispositivo riferite a gruppi di pazienti tra loro omogenei provenienti da un singolo centro e destinati al centro stesso o provenienti da più centri (qualora ciascun centro scelga di voler condividere informazioni con altri centri nell’ambito di progetti comuni di miglioramento della conoscenza delle terapie applicate e della cura dei pazienti).

Regole per la proprietà, la gestione, l’accesso e l’utilizzo dei dati

Proprietà dei dati

I dati trattati nell’ambito del servizio One Hospital ClinicalService sono di proprietà del centro che si avvale del servizio. Il Centro per l’esecuzione e lo svolgimento del servizio si avvale di Medtronic Italia S.p.a. a cui affida le operazioni di trattamento necessarie al raggiungimento dello scopo.

Gestione dei dati

Medtronic può utilizzare una società terza per la gestione dei sistemi informatici. Medtronic garantisce che la scelta della società terza cui affidare la gestione informatica avviene secondo i seguenti criteri:

affidabilità, competenza ed esperienza;

certificazione in materia di sicurezza delle informazioni o per lo meno un’attestazione di conformità alle misure minime di sicurezza e al provvedimento del Garante per la protezione dei dati personali in materia di amministratori di sistema;

capacità di garantire una continuità operativa attraverso piani specifici per i casi di interruzione o grave deterioramento della qualità del servizio.

Medtronic si impegna a sottoporre a controlli periodici l’operato della società terza - specialmente per quanto attiene il grado di implementazione delle misure di sicurezza - e a fornire tempestivamente al centro ospedaliero, in caso di richiesta da parte di quest’ultimo, l’esito di tali controlli.

Su richiesta dei centri ospedalieri, che hanno pieno diritto a conoscere le anagrafiche complete dei loro pazienti, gli applicativi realizzati per il servizio ClinicalService consentiranno ai medici di ciascun centro di registrare nominativi o codici identificativi dei loro stessi pazienti, per una più semplice individuazione nelle attività di loro competenza. In ogni caso, il sistema informativo

non esporrà eventuali nominativi a personale diverso dai citati medici, sostituendo eventuali nominativi con codici identificativi nelle schermate visibili agli altri utenti autorizzati (come, ad esempio, ai tecnici ed operatori Medtronic).

Anche il trasferimento dei database per gli opportuni servizi statistici avverrà previo occultamento dei nominativi e loro sostituzione con codici identificativi.

Gli unici ad avere un accesso completo al database clinico (per evidenti ragioni tecniche) saranno gli amministratori di sistema della società terza, che sono scelti dalla società terza secondo criteri di esperienza, capacità e affidabilità e che sono professionalmente vincolati a non trasferire per alcuna ragione tali dati a terzi, se non su disposizione scritta dei centri ospedalieri.

Medtronic si impegna a fornire tempestivamente al centro ospedaliero, dietro sua richiesta, i report sull’attività degli amministratori di sistema effettuati dalla società terza su base annuale ai sensi del provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008.

Ciascun paziente può chiedere di prendere visione dei dati raccolti a suo riguardo e richiederne correzione e/o integrazione. In qualunque momento, infine, il paziente potrà ritirare il proprio consenso alla partecipazione al servizio ed i suoi dati saranno rimossi dai sistemi di archiviazione.

Per tutto quanto non espressamente previsto nel presente documento, Medtronic si impegna all’adempimento delle obbligazioni nascenti dal contratto e all’esecuzione delle istruzioni impartite con la nomina a Responsabile del Trattamento.

Regole di accesso ed utilizzo dei dati

Ciascun medico potrà avere accesso ai report predisposti da Medtronic su dati dei propri pazienti conservati all’interno del database ed eventualmente potrà richiederne revisioni, integrazioni o correzioni per garantire la conformità di tali informazioni con i dati clinici originali.

Ogni medico potrà ricevere periodicamente, relativamente alla propria casistica, report strutturati, per paziente e – ammesso che i numeri lo consentano – raggruppati per gruppi di pazienti (eventualmente divisi in classi omogenee per patologia, indicazioni o dispositivo utilizzato) contenenti le informazioni generali basali e di follow-up.

Medtronic Italia accede ai dati per fornire il supporto organizzativo, le analisi statistiche, i report e i servizi offerti dal servizio ai medici partecipanti. Medtronic può inoltre realizzare esplorazioni dei dati che potrebbero consentire ai medici di ottimizzare le finalità cliniche e scientifiche del servizio.

Allegato B

Accordo sulla Protezione dei Dati

Tutti i termini hanno il significato definito nel Regolamento (UE) 2016/679 ("GDPR") o devono essere intesi come termini equivalenti ai sensi di altre leggi applicabili sulla protezione dei dati, incluso il GDPR come recepito nelle leggi nazionali del Regno Unito ("Leggi sulla protezione dei dati"). Questo accordo sul trattamento dei dati costituiscono una parte inseparabile del Contratto.

Articolo 1. Trattamento dei Dati del Centro medico

1.1. Nell'ambito della fornitura dei Servizi, Medtronic può trattare i dati personali del Centro medico e dei membri del personale del Centro medico ("Dati del Centro medico"), come i dettagli di contatto, attività, le affiliazioni professionali, il profilo professionale, il titolo di studio, la formazione e le preferenze personali e può agire in qualità di Titolare del trattamento o preposto delegato dei dati per le seguenti finalità: mantenere il proprio rapporto commerciale con il Centro medico per eseguire, rivedere, sviluppare e migliorare i Servizi; fornire al Centro medico informazioni di marketing pertinenti come consentito dalle leggi applicabili; salvaguardare e proteggere i diritti e gli interessi legittimi di Medtronic; e ottemperare agli obblighi legali di Medtronic e alle richieste o ordini giudiziari o governativi. Medtronic può anche identificare determinate caratteristiche o preferenze sulla base delle quali Medtronic può creare o compilare profili professionali, finanziari o comportamentali per le finalità sopra indicate. Medtronic è responsabile, da sola o congiuntamente al Centro medico. Ciò significa che sia il Centro medico e Medtronic agiscono come Titolare e hanno la facoltà di determinare le finalità e la modalità di come verranno processati i dati del Centro medico.

1.2. Medtronic può condividere i dati del Centro medico con i fornitori e le società affiliate di Medtronic, come richiesto per uno qualsiasi delle finalità sopra menzionate. I trasferimenti dei dati dei Centri medici dalla giurisdizione in cui sono stati ricevuti saranno effettuati sulla base di adeguate garanzie giuridiche ai sensi della normativa sulla protezione dei dati applicabile e l’approvazione regolatoria ove richiesto dalle leggi applicabili sulla protezione dei dati.

1.3. I Dati del Centro Medico verranno trattati per il tempo necessario al raggiungimento delle finalità sopra indicate.

1.4. I soggetti interessati possono esercitare i propri diritti di accesso, rettifica, informazione, limitazione, cancellazione, revoca del consenso precedentemente prestato, opposizione, portabilità dei dati e presentare reclami alle autorità competenti per la protezione dei dati in merito al trattamento dei propri dati personali da parte di Medtronic. Laddove Medtronic e il Centro medico agiscano in qualità di contitolari del trattamento, assicureranno ragionevolmente che le richieste e i reclami degli individui siano principalmente indirizzati al Centro medico. Il Centro medico può inoltrare queste richieste o reclami a Medtronic all'indirizzo xx.xxxxxxxxxxxxx@xxxxxxxxx.xxx. il Centro medico fornirà ai soggetti interessati tutte le informazioni legittimamente richieste in merito le attività di trattamento di Medtronic e otterrà per conto di Medtronic, quando richiesto, i consensi legalmente validi dei soggetti interessati. Laddove Medtronic agisca in qualità di Titolare indipendente, le richieste o i reclami di qualsiasi soggetto interessato dovranno essere indirizzati a xx.xxxxxxxxxxxxx@xxxxxxxxx.xxx

Articolo 2. Trattamento dei Dati Personali per conto del Centro medico

2.1. Gli articoli da 2 a 7 riguardano il trattamento dei Dati Personali da parte di Medtronic per conto e su istruzioni documentate del Centro medico durante l'esecuzione dei Servizi. A tal fine, Medtronic agisce in qualità di Responsabile del trattamento del Centro medico che agisce in qualità di Titolare del trattamento o preposto delegato .

2.2. Medtronic informerà il Centro medico se, a sua discrezione, le istruzioni contravvengono alle leggi applicabili sulla protezione dei dati. Se il Centro medico non reagisce e persiste con istruzioni illegali, Medtronic e il Centro medico negozieranno in buona fede istruzioni accettabili conformi alle leggi applicabili.

2.3. Qualsiasi trattamento di dati personali eseguito da parte del Centro medico o da Medtronic al di fuori del contesto dei Servizi non rientra nell'ambito del presente Accordo sul trattamento dei dati e ricade sotto la sola ed esclusiva responsabilità del relativo Titolare del trattamento o preposto delegato

Articolo 3. Responsabilità di Medtronic in merito al trattamento

3.1. Medtronic tratterà i Dati Personali nel rispetto delle leggi e dei regolamenti applicabili ed esclusivamente ai fini di:

a) fornire i Servizi;

b) valutare, migliorare e garantire l'uso corretto dei Servizi e delle relative apparecchiature, tecnologie e infrastrutture, per garantire la sicurezza, la protezione e la qualità dei Servizi;

c) valutare, analizzare e relazionare sulle attività concordate, compreso il trattamento dei Dati Personali, su richiesta del Centro medico;

d) rispettare i termini del presente Accordo sul trattamento dei dati;

e) ottemperare a qualsiasi ragionevole richiesta fatta ai sensi delle leggi sulla protezione dei dati applicabili, delle leggi inderogabili o delle autorità di controllo, nel qual caso Medtronic, ove possibile, informerà il Centro medico prima di soddisfare tale richiesta;

3.2. I dettagli sul trattamento dei Dati Personali nell'ambito dei Servizi sono riportati nell'Appendice 1a del presente documento.

3.3. Medtronic manterrà la riservatezza dei Dati personali elaborati per conto del Centro medico e garantirà ragionevolmente che il personale di Medtronic autorizzato al trattamento dei Dati personali si sia impegnato alla riservatezza o sia soggetto a un obbligo legale di riservatezza adeguato.

3.4. Medtronic assisterà il Centro medico con le richieste sui diritti dell'interessato e informerà il Centro se Medtronic riceve una tale richiesta, domanda o reclamo in relazione ai Servizi.

3.5. Medtronic informerà il Centro medico senza indebito ritardo dopo essere venuta a conoscenza di una violazione della sicurezza che ha portato alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato ai Dati personali trasmessi, archiviati o

altrimenti elaborati tramite i Servizi, fornendo almeno le informazioni richieste dalle leggi sulla protezione dei dati.

3.6. Medtronic tratterà i Dati Personali solo per il tempo necessario per eseguire i Servizi. Medtronic, a scelta del Centro medico, (i) distruggerà i Dati Personali o (ii) restituirà i Dati Personali e distruggerà tutti i Dati Personali rimanenti che non sono più necessari per tali finalità, a meno che un obbligo legale o regolamentare o un ordine giudiziario o amministrativo impedisca a Medtronic di fare ciò o obblighi Medtronic a conservare copie di tali dati.

3.7. Nell'ambito dei Servizi, Medtronic fornirà, su ragionevole richiesta del Centro medico, la documentazione necessaria per dimostrare il rispetto dei propri obblighi in qualità di responsabile del trattamento. Medtronic fornirà tale documentazione non più di una volta ogni dodici (12) mesi.

3.8. Medtronic supporterà il Centro medico in merito a qualsiasi valutazione d'impatto sulla protezione dei dati e/o consultazione preventiva che potrebbe essere richiesta in relazione al trattamento dei dati effettuato ai sensi del presente Accordo.

Articolo 4. Responsabilità del Centro in merito al trattamento

4.1. In qualità di Titolare del trattamento o preposto delegato, il Centro medico è responsabile del rispetto delle leggi sulla protezione dei dati applicabili, inclusa la liceità del trattamento dei Dati Personali. Laddove richiesto dalle leggi sulla protezione dei dati applicabili, il Centro medico garantisce di aver ottenuto un consenso esplicito e valido e conserverà tali moduli di consenso e li renderà disponibili a Medtronic su richiesta.

0.0.Xx richiesta, Medtronic può mettere a disposizione del Centro medico le informazioni necessarie per supportare il Centro medico nella preparazione di un modulo di consenso.

Articolo 5. Obblighi reciproci

5.1. Il Centro medico e Medtronic collaboreranno in buona fede per risolvere in modo soddisfacente qualsiasi richiesta, domanda e notifica come richiesto dalle leggi sulla protezione dei dati applicabili.

5.2. ll Centro medico e Medtronic devono adottare misure di sicurezza tecniche ed organizzative adeguate. A tal fine, Medtronic attuerà misure di sicurezza come descritto nell'Appendice 2. In nessun momento Medtronic ridurrà tali misure di sicurezza.

Articolo 6. Rivelazione, trasferimento e sub- responsabili

6.1. Medtronic non rivelerà i Dati personali a terzi se non per le finalità sopra indicate o come altrimenti consentito dal Contratto o se richiesto dalla legge applicabile.

6.2. Medtronic è generalmente autorizzata ad incaricare un altro responsabile del trattamento per eseguire le attività di trattamento stabilite nel presente Accordo ("Sub- responsabile"), a condizione che informi il Centro medico di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di nuovi Sub-responsabili ed offra al Centro medico l'opportunità di opporsi Medtronic selezionerà i Sub- responsabili con la dovuta attenzione ed imporrà al Sub- responsabile obblighi di protezione dei dati sostanzialmente simili a quelli stabiliti nel presente Accordo sul trattamento dei dati. Un elenco dei principali sub-responsabili è riportato nell'Appendice 1a.

6.3. Qualora uno dei Sub-responsabili non adempiesse ai propri obblighi di protezione dei dati, Medtronic rimarrà pienamente responsabile nei confronti del Centro medico per l'adempimento degli obblighi di tale Sub-responsabile.

6.4. Medtronic e i suoi Sub-responsabili possono trattare i Dati personali sia all'interno che al di fuori della giurisdizione in cui si trova il Centro medico.

Medtronic trasferirà i Dati personali al di fuori della giurisdizione in cui si trova il Centro medico solo sulla base di modalità legali approvate ai sensi delle leggi sulla protezione dei dati applicabili, che possono includere clausole standard sulla protezione dei dati ("Clausole modello") e con l'approvazione regolatoria in circostanze ove richiesto dalle leggi sulla protezione dei dati applicabili. Il Centro medico accetta che Medtronic possa, per suo conto, stipulare clausole tipo approvate dalla Commissione Europea o da un'altra autorità competente con Sub- responsabili approvati dal Centro medico, nella misura necessaria per garantire che tali clausole standard sulla protezione dei dati possano essere utilizzate come meccanismo di trasferimento legalmente valido ai sensi delle leggi applicabili.

Articolo 7. Contatto dell'Ufficio privacy di Medtronic

Per tutte le notifiche e le richieste di assistenza relativi al presente Allegato, il Centro medico può contattare l'Ufficio privacy di Medtronic

xx.xxxxxxxxxxxxx@xxxxxxxxx.xxx.

Appendice 1a – Dettagli delle attività di trattamento per conto del Centro nell’ambito del servizio OHCS

APPENDICE 1a - PANORAMICA SUL TRATTAMENTO DEI DATI PER I SERVIZI OHCS
CHI ELABORA I DATI PERSONALI NELL'AMBITO DEI SERVIZI OHCS?	IL CENTRO IN QUALITÀ DI TITOLARE DEL TRATTAMENTO O PREPOSTO DELEGATO	MEDTRONIC Italia SpA IN QU RESPONSABILE DEL TRATTAMENTO	ALITÀ DI	Airon Telematica S.r.l. in qualità di SUB-RESPONSABILE
	PAZIENTE			MEDICO
SOGGETTI INTERESSATI E TIPOLOGIA DI DATI TRATTATI	[ELENCARE LE TIPOLOGIE DI DATI PERSONALI TRATTATI] DATI PSEUDONIMIZZATI Dati identificativi ID paziente Età Sesso Dati clinici Nome ospedale Dati clinici anamnestici Data di impianto device o procedura Seriale dispositivo Dati del dispositivo Diagnosi Informazioni terapeutiche		[ELENCARE TRATTATI] NOME COGNOME EMAIL	LE TIPOLOGIE	DI DATI PERSONALI
ENTI COINVOLTI	RESPONSABILE DEL	MEDTRONIC ITALIA S.P.A. con sede legale in Xxx Xxxxxxxx 000, 00000 Xxxxxx	SUBINCARICATI	MEDTRONIC B.V. INDUSTRY PARK TRILANDIS EARL XXXXXXXXXXXX 00 - 0000 XX, XXXXX XXXXX XXXXX TELEMATICA, XXX XXXXX, 00 - 00000 XXXXXX, L'AZIENDA TERZA CHE GESTISCE LA PIATTAFORMA DI RACCOLTA DATI
ATTIVITÀ DI TRATTAMENTO	OGGETTO DEL TRATTAMENTO DEI DATI: il Centro ha richiesto di usufruire del sistema di raccolta dati One Hospital ClinicalService al fin di ricevere il supporto tecnico e scientifico necessari ad ottenere le informazioni e le analisi dei dati clinici riguardanti i propri pazienti trattati con terapie e/o dispositivi Medtronic.
	NATURA DEL TRATTAMENTO: [Identificare le tipologie di operazioni eseguite sui dati personali - spuntare tutto ciò che è applicabile] ☐ Accesso limitato solo per la risoluzione dei problemi/manutenzione ☒ Consultazione dei dati personali in vista della fornitura dei Servizi: ☐ Solo per la visualizzazione ☐ Organizzazione e (ri)strutturazione ☐ Allineamento o combinazione ☐ Confronto ☐ Valutazione o punteggio ☐ Riferimenti incrociati ☒ Combinazioni di insiemi di dati ☐ Corrispondenza dei dati (collegamento di origini dati) ☒ Analitica dei dati ☐ Raccolta dati personali per conto del titolare del trattamento o preposto delegato ☐ Registrazione dei dati personali in considerazione della fornitura (in remoto) dei servizi ☐ Divulgazione a terzi (diversi dal Subincaricato) mediante trasmissione, diffusione o altrimenti messa a disposizione x Hosting ☐ Profilazione ☐ Monitoraggio ☐ Monitoraggio sistematico ☐ Altro:
	FINALITÀ DEL TRATTAMENTO MEDTRONIC ITALIA S.P.A. ⮚ fornire i Servizi; ⮚ valutare, migliorare e garantire l'uso corretto dei Servizi e delle relative apparecchiature, tecnologie e infrastrutture, per garantire la sicurezza, la protezione e la qualità dei Servizi;

	⮚ valutare, analizzare e riferire sulle attività concordate, compreso il trattamento dei Dati Personali, su richiesta del Cliente; ⮚ rispettare i termini delle presenti Clausole sul Trattamento dei Dati; ⮚ ottemperare a qualsiasi richiesta ragionevole fatta ai sensi delle Leggi sulla protezione dei dati applicabili, delle leggi obbligatorie o delle autorità di vigilanza, nel qual caso Medtronic, ove possibile, informerà il Cliente prima di soddisfare tale richiesta. [AIRON TELEMATICA S.R.L. ] ⮚ Attività di sviluppo, gestione e hosting del sistema di acquisizione dei dati e altri sistemi utilizzati per elaborare i dati personali ⮚ Sevizio di supporto tecnico del sistema di acquisizione dei dati ⮚ [ove applicabile] possibiltà di utilizzo di un’applicazione mobile da parte degli utenti interessati, hosting e trasmissione dei dati personali e supporto tecnico in relazione all’ App. [MEDTRONIC B.V.] ⮚ Centro operativo europeo per la distribuzione e servizi condivisi. Fornisce supporto e personale dedicato al centro dati Medtronic
TRASFERIMENTI DI DATI	Nell’ ambito del Servizio, non è previsto alcun trasferimento dei dati verso paesi al di fuori dell’ Unione Europea
ARCHIVIAZIONE DEI DATI In SEE> (Paesi Bassi e Germania)	<applicabile per paesi UE> ASSISTENZA PER I DIRITTI DELL'INTERESSATO [] I DIRITTI DELL'INTERESSATO VENGONO GESTITI DAL CENTRO IN PRIMA ISTANZA MEDTRONIC PUÒ ASSISTERE IL CENTRO MEDICO: • FORNENDO UNA COPIA DEI DATI PERSONALI TRATTATI SULLA PIATTAFORMA • RETTIFICANDO O CANCELLANDO I DATI PERSONALI SULLA/DALLA PIATTAFORMA • SODDISFACENDO IL DIRITTO ALLA PORTABILITÀ DEI DATI • LIMITANDO O SOSPENDENDO IL TRATTAMENTO DEI DATI PERSONALI Le richieste del Centro medico possono essere inviate a Medtronic al seguente indirizzo mail: xx.xxxxxxxxxxxxx@xxxxxxxxx.xxx	TOOLKIT MODELLO DI CONSENSO INFORMATO DEL PAZIENTE DISPONIBILE SU RICHIESTA ULTERIORI INFORMAZIONI SUL TRATTAMENTO DEI DATI DISPONIBILI IN [DOCUMENTAZIONE DI SUPPORTO]

Appendice 2 – Misure di sicurezza tecniche e organizzative per le attività di trattamento per conto del Centro

APPENDICE 2 - MISURE TECNICHE E ORGANIZZATIVE GENERALI DI MEDTRONIC
Controllo dell'accesso
Credenziali del personale Medtronic	Medtronic garantirà che agli utenti autorizzati da Medtronic sia assegnato un ID utente e una password individuali e univoci, token, numeri di identificazione personale (PIN) o identificatore biometrico ("Credenziali") e consentirà agli utenti autorizzati di accedere ai Prodotti, Servizi e/o Reti Medtronic applicabili (come applicabile) solo dopo l'autenticazione con Credenziali valide. Le credenziali verranno archiviate a riposo utilizzando un algoritmo di hashing unidirezionale (SHA-256 o equivalente) e verranno crittografate ogni volta che vengono trasmesse su Internet.
Revisione dei diritti di accesso del personale Medtronic	Medtronic implementerà revisioni periodiche dei diritti di accesso degli utenti autorizzati da condurre regolarmente e garantirà che i requisiti di accesso, l'autenticazione e le Credenziali per ogni utente autorizzato siano aggiornati e conformi ai requisiti del presente Allegato.
Cessazione dell'accesso autorizzato agli utenti Medtronic	Medtronic implementerà e manterrà procedure che garantiscano che gli account utente autorizzati con accesso a prodotti, Servizi e/o Reti Medtronic siano disabilitati o terminati rispetto a qualsiasi utente autorizzato (i) dopo un periodo definito di inattività; (ii) quando il personale Medtronic autorizzato non ne ha più bisogno; (iii) non più di settantadue (72) ore dopo la partenza volontaria di tale personale Medtronic autorizzato o la scadenza di un contratto applicabile; e (iv) non più di ventiquattro (24) ore dopo le terminazioni per causa o altre terminazioni o partenze non volontarie degli addetti Medtronic che sono utenti autorizzati.
Servizi di controllo della sicurezza di rete	I Servizi e la/e Rete/i Medtronic forniranno, se del caso, controlli di sicurezza configurabili. La Rete Medtronic manterrà i firewall in tutte le zone demilitarizzate logiche e i punti di connessione internet e includerà misure di sicurezza progettate per prevenire un possibile collegamento di qualsiasi sistema Cliente con reti non clienti, compresa la prevenzione della connettività logica dalla rete Medtronic alle reti non clienti (ad esempio internet) mentre è connessa contemporaneamente ai sistemi dei clienti (ad esempio, VPN "split tunneling").
Autorizzazione e formazione	Medtronic implementerà e manterrà procedure per garantire che tutto il personale Medtronic abbia un'adeguata formazione, credenziali, autorizzazione e supervisione commisurate al livello di accesso concesso a tale personale Medtronic.
Accesso Subincaricato	Ogni Subincaricato utilizzerà un account univoco assegnato al Subincaricato per eseguire qualsiasi lavoro ai sensi del presente Contratto. Nella misura in cui tale accesso è controllato da Medtronic, Medtronic manterrà registri di audit per l'accesso di qualsiasi Subincaricato ai dati del Cliente o alla rete del Cliente. Medtronic riesaminerà periodicamente tali registri di audit per l'accesso non autorizzato o inappropriato. Medtronic verificherà periodicamente le garanzie procedurali, amministrative, fisiche e tecniche utilizzate da ciascuno dei suoi Subincaricati con accesso ai dati del Cliente o alla rete del Cliente, che possono includere o consistere, ove applicabile ai servizi forniti da tale Subincaricato e a scelta del Cliente, la revisione dell'audit SOC 2 di tali Subappaltatori.
Gestione delle modifiche
Standard di sicurezza	Medtronic allineerà la supervisione e la gestione della sicurezza informatica sulla base della serie 27001 dell'Organizzazione Internazionale per la Standardizzazione/International Electro Technical Commission (ISO/IEC 27001) e del NIST (National Institute of Standards and Technology) Cybersecurity Framework. I dispositivi, i sistemi e i servizi soddisferanno i requisiti normativi applicabili per i dispositivi medici.
Prove di penetrazione	Medtronic condurrà regolarmente penetration test, compresi i test manuali sull'uomo, per valutare i controlli di sicurezza dell'applicazione, host e livelli rete utilizzati per fornire al Servizio le seguenti metodologie standard del settore (ad esempio OWASP e OSSTMM). A tal fine, Medtronic potrà coinvolgere una terza parte indipendente.
Sicurezza fisica	Qualsiasi struttura che disponga delle Reti Medtronic dovrà, come minimo: (a) essere strutturalmente progettata per resistere alle intemperie e ad altre condizioni naturali ragionevolmente prevedibili; (b) implementare opportune misure di sicurezza ambientali di tipo fisico per proteggere i sistemi da danni legati al fumo, al calore, all'acqua, al fuoco, all'umidità o alle oscillazioni dell'energia elettrica; (c) essere supportata da gruppi di continuità e da sistemi di generazione di energia di riserva in loco; (d) implementare controlli appropriati per garantire che solo il personale autorizzato abbia accesso fisico alla struttura. Esempi di controlli appropriati includono, ma non si limitano a: segnaletica; badge identificativi e accesso controllato attraverso una combinazione di badge e/o verifica biometrica; accesso, scorta e uscita visitatori, guardie di sicurezza 24 ore su 24; videosorveglianza; e (e) utilizzo di processi standard del settore per smaltire i sistemi informatici.
Disaster Recovery e Business Continuity	Quando e ove applicabile, Medtronic manterrà un adeguato piano di disaster recovery, business continuity ed emergenza e le relative politiche e procedure (collettivamente, il "Piano DR"). Il piano DR prevede il proseguimento del funzionamento in caso di disastro che abbia colpito le operazioni commerciali di Medtronic e deve essere conforme agli standard, alle procedure e alle pratiche di pianificazione della business continuity, degli imprevisti e del disaster recovery accettati a livello internazionale.
Procedure di backup	Medtronic fornirà i prodotti, i Servizi e/o la Rete Medtronic (come applicabile) secondo le seguenti procedure per migliorare la sicurezza. Medtronic: a) disporrà di procedure specifiche che disciplinino il processo di backup; b) rivedrà regolarmente le procedure di recupero dei dati; e c) registrerà gli sforzi di ripristino dei dati, tra cui il responsabile, la descrizione dei dati ripristinati e quali dati (eventuali) dovevano essere immessi manualmente nel processo di recupero dei dati.
Patch di sicurezza; Monitoraggio della rete
Gestione delle vulnerabilità	Medtronic ha e deve mantenere un Programma di gestione delle vulnerabilità. Questo processo deve includere, come minimo:

	a) un quadro coerente per valutare la fruibilità di una vulnerabilità; e b) un'analisi dell'impatto di tale vulnerabilità sull'intera infrastruttura informatica di Medtronic.
Protezione di dispositivi e hardware	Medtronic rimuoverà e/o disabiliterà, tramite software, disconnessione fisica o barriere ingegnerizzate, tutti i servizi e/o le porte dei Servizi non necessari per il normale funzionamento, le operazioni di emergenza o la risoluzione dei problemi. Ciò include porte di comunicazione e porte fisiche di ingresso/uscita (ad esempio, porte docking USB, unità CD/DVD, porte video e porte seriali).
Registrazione della sicurezza delle informazioni
Registrazione	Medtronic dovrà fornire, se applicabile, le seguenti capacità minime di accesso: a) firewall, router, commutatori di rete e sistemi operativi devono avere le rispettive capacità di accesso abilitate, attive e configurate per registrare, alla rispettiva destinazione di registrazione predefinita o a un server syslog centralizzato (per i sistemi di rete), le registrazioni degli eventi in modo sufficientemente dettagliato per scopi diagnostici e analitici nel caso di un accesso non autorizzato effettivo o sospetto o di un uso improprio dei Servizi; b) registrazioni di voci di log di accesso dell'utente finale che contengono, come minimo, la data, l'ora, l'ID utente, l'URL richiesto o l'ID dell'entità su cui si opera, l'operazione eseguita (visualizzata, modificata, ecc.) e l'indirizzo IP di origine, con la consapevolezza che in alcuni casi l'indirizzo IP di origine potrebbe non essere disponibile se NAT (Network Address Translation) o PAT (Port Address Translation) c) tutti i registri di accesso richiesti saranno conservati per un minimo di novanta (90) giorni; d) tutti i registri di accesso richiesti saranno conservati fisicamente e virtualmente al sicuro per evitare manomissioni; e) le password non saranno registrate in nessun caso; e f) alcune modifiche amministrative ai Servizi (come le modifiche della password e l'aggiunta di campi personalizzati) saranno monitorate in un "Registro di controllo dell'installazione" disponibile per la visualizzazione, il download e l'archiviazione locale da parte degli amministratori di sistema.