Schema tipo

CONTRATTO TRA L’AUSL DI BOLOGNA – DISTRETTO DI COMMITTENZA E GARANZIA DI ,ASC /ASP UNIONE E RELATIVO ALLA GESTIONE DI PROGETTI ED INTERVENTI INDIVIDUALIZZATI ALL’INSERIMENTO IN FAVORE DI ADULTI DISABILI PRESSO LA STRUTTURA RESIDENZIALE/DIURNA “ ” – PERIODO

Premesso che :

La Società / Ditta / Consorzio/ a seguito di avviso emesso dall’Azienda Usl, risulta regolarmente iscritta all’elenco dei soggetti gestori di servizi non accreditati ai sensi della DGR 514/2009, destinati ad accogliere utenti disabili , valevole a tutto il ai sensi del regolamento aziendale approvato con deliberazione n. del ;

Considerato che, in relazione a necessità di inserimento di disabili presso la struttura ( gruppo appartamento/ laboratorio/ centro socio occupazionale ) gestita da ,si definiscono con il presente accordo le condizioni relative all’inserimento di utenti in carico all’USSI/disabili adulti del Distretto di e/o all’UO Disabili adulti di ASC ……../ASP………..,Unione ……………....

Richiamata la L.R. 2/2003

Verificato che la struttura sopradetta è autorizzata al funzionamento, ai sensi della DGR n. 564/2000 e ss. mm. ed int. , con provvedimento P.G. del emesso dal Comune di

per n. posti di ( indicare la tipologia di struttura) ;

( in alternativa : Verificato che, ai sensi del punto 9.1 della DGR 564/2000 , il gestore ha regolarmente comunicato al Comune di l’avvio di attività per la tipologia con nota di prot. del );

Vista la DGR 28/07/2008 n. 1230 “Fondo Regionale per la non autosufficienza – Programma 2008 e definizione degli interventi a favore delle persone adulte con disabilità”

TRA

( C.F.- P.IVA ),gestore della struttura denominata con sede legale in via , qui rappresentata dal Dr./Dr.ssa , in qualità di , nato a il ;

E

l’Azienda Sanitaria di Bologna (C.F. 02406911202), rappresentata dal Direttore del Distretto di Committenza e Garanzia Dr./Dr.xxx

E / O

ASC (C.F. ), rappresentata dal Dr./Dr.ssa in qualità di

E / O

ASP (C.F. ),rappresentata dal Dr./Dr.ssa in qualità di

E / O

L’UNIONE (C.F. ), rappresentata dal Dr./Dr.ssa in qualità di

SI CONVIENE E SI STIPULA QUANTO SEGUE

Art.1 Oggetto del contratto

La premessa è parte integrante e sostanziale del presente contratto che regola, a seguito della definizione di specifico progetto individualizzato, il rapporto tra le parti in ordine alla frequenza / inserimento di utenti disabili afferenti al Distretto presso la struttura , meglio specificata in premessa.

Gli inserimenti saranno disposti nominativamente sulla base del progetto individualizzato predisposto dalla competente Equipe di valutazione/UVM, tenendo conto dei bisogni assistenziali, educativi, riabilitativi e sanitari dell’utente da inserire, a seguito di preventiva consultazione dell’elenco fornitori, come previsto dal regolamento aziendale richiamato in premessa;

Gli inserimenti saranno disposti mediante apposita lettera di autorizzazione;

Art. 2

Requisiti della struttura e del personale

La struttura, come indicato in premessa, è regolarmente autorizzata ai sensi della vigente normativa (DGR 564/2000 o/ DGR 1904/2011 e successive integrazioni e modificazioni).

Il gestore si intende responsabile:

• della sicurezza dell’utente durante la permanenza nell’ ambito dei locali della struttura stessa;

• della sicurezza dell’ utente durante lo svolgimento delle attività eventualmente previste nel PAI/PEI concordato ed autorizzato dal Distretto congiuntamente con gli Enti Locali e le Istituzioni territorialmente competenti e che si svolgono all’ esterno della medesima;

• del possesso e della sussistenza di tutti i requisiti gestionali, funzionali, strutturali previsti dalla vigente normativa in materia, ivi compresi quelli previsti dalle disposizioni in tema di sicurezza e prevenzione. Il gestore assicura la presenza del personale secondo le professionalità e dotazioni previste dalla DGR 564/2000 e xx.xx. ed int.

Il gestore si obbliga al puntuale rispetto di tutte le prescrizioni ed indicazioni in materia di prevenzione connesse all’emergenza Covid 19.

E’ compito del gestore comunicare tempestivamente al Distretto/Enti Locali e Istituzioni territorialmente competenti ogni fatto o evento che, incidendo sulla funzionalità della struttura, può avere ripercussioni sulla piena e corretta realizzazione del PAI/PEI al fine di rendere possibile la valutazione e decisione sulle eventuali modifiche dell’ intervento e sulla sua prosecuzione.

La revoca o la sospensione della Autorizzazione al funzionamento o la perdita dei requisiti prescritti per l’esercizio dell’attività deve essere immediatamente comunicata al Distretto/ASC/ASP/Unione. In tali casi il Distretto/ASP/ASC/Unione provvederà alla individuazione di nuova diversa collocazione dell’ utente indipendentemente dai termini previsti al successivo art. 10. Il pagamento della retta sarà interrotto in via immediata dal giorno del trasferimento dell’ utente.

Art. 3

Organizzazione del servizio e prestazioni assicurate

Il Gestore si impegna ad assicurare le prestazioni assistenziali, educative e riabilitative a favore dell’utente, differenziate secondo i bisogni specifici e articolate secondo il progetto individualizzato.

Le principali attività che possono essere erogate sono le seguenti :

(Specificare le attività in modo coerente con i contenuti del PAI/PEI)

1) attività assistenziali-educative indirizzate all’autonomia personale e allo sviluppo delle capacità espressive;

2) attività terapeutico riabilitative mirate all’acquisizione e/o mantenimento della capacità comportamentali, cognitive ed affettivo relazionali;

3) interventi per la conduzione e la personalizzazione dell’ambiente domestico, inteso come spazio privato ricco di significati affettivi in cui l’ospite possa riconoscersi;

4) attività della vita quotidiana all’interno dell’abitazione ( pulizia personale, riassetto della casa, piccoli acquisti, preparazione dei pasti etc.. ) quali momenti significativi per la crescita personale e di gruppo;

5) interventi atti a garantire la continuità delle relazioni umane che l’ospite ha con il nucleo di provenienza. Tali rapporti non solo vanno conservati, ma possibilmente potenziati/sostenuti, facilitando al massimo le visite dei famigliari alla comunità e dell’ospite alla famiglia quando lo si ritenga utile al percorso dello specifico ospite;

6) attività ludico-motorie;

7) attività di socializzazione;Il Gestore si impegna ad organizzare l’ offerta delle attività all’ interno della struttura nelle forme e nei modi più opportuni allo scopo di armonizzare le esigenze degli utenti e le loro particolari esigenze educative e/o riabilitative. In particolare si specifica che l’ organizzazione della vita di gruppo dovrà essere proiettata verso la costante partecipazione alle attività della comunità, al fine di perseguire l’ obiettivo della massima integrazione possibile nel contesto sociale. Potranno essere proposte, purchè rientranti nella

programmazione e nell’ offerta complessiva della struttura, anche attività in ambiente esterno alla struttura.

Il gestore garantisce l’apertura della struttura per n. giorni settimanali dalle ore alle ore e per n. giornate annue. Le sospensioni del servizio ( dovute a festività natalizie, pasquali, nazionali , o di altro genere) dovranno essere preventivamente essere concordate e comunicate al Responsabile UASS del Distretto competente, all’UO Disabili dell’Ausl/ Comuni / Istituzioni territorialmente competenti.

Il Gestore si impegna inoltre ad assicurare:

1) modalità di lavoro per progetti (PAI/PEI) con monitoraggio e verifica periodica dello stesso, secondo cadenze condivise in sede tecnica e, comunque , almeno una volta l’anno, prevedendo il coinvolgimento del responsabile del caso individuato;

2) eventuali diete speciali in caso di necessità ;

3) registrazione, sulla base del programma giornaliero/settimanale delle attività degli ospiti, le attività realmente effettuate dall’ utente;

4) disponibilità al rapporto con il Responsabile del Caso e partecipazione del personale tecnico referente ai momenti di verifica e monitoraggio del PAI/PEI ;

5) la rilevazione dei dati di attività e delle prestazioni erogate come concordate con la Committenza ai fini della gestione del presente contratto ( es. rilevazione mensile delle presenze/assenze dell’ospite) anche mediante utilizzo, se attivato in relazione allo specifico target di utenza, degli strumenti e delle procedure informatizzate previste nell’ ambito del Progetto GARSIA.

Con particolare riferimento all’ utilizzo del sistema informativo/gestionale informatizzato GARSIA il gestore si impegna all’ utilizzo dei moduli che saranno proposti e attivati dall’ Azienda USL/ASP/ASC/Unione collaborando alla costante implementazione del Sistema. In particolare saranno garantiti :

• l’ utilizzo degli eventuali moduli informatici che saranno proposti

• il recepimento degli aggiornamenti che saranno via via predisposti

• la partecipazione del proprio personale agli specifici momenti formativi che saranno via via organizzati a livello distrettuale/aziendale

• la partecipazione ai momenti di verifica periodica sull’andamento dell’implementazione e dell’utilizzo del Sistema

L’assolvimento dei debiti informativi locali e metropolitani è riconosciuto dalle parti quale elemento indispensabile per il monitoraggio delle attività a sostegno delle programmazione.

Art. 4 Contratti collettivi di lavoro e coperture assicurative

Il gestore garantisce e si impegna a quanto segue nei confronti del proprio personale dipendente:

• al rispetto dei vigenti specifici contratti collettivi di lavoro.

• ad accendere specifiche coperture assicurative relative alla responsabilità civile per danni alle persone o a cose conseguenti all’ attività prestata ed al rischio di infortunio subito dagli operatori e per la responsabilità civile verso terzi per i danni causati dagli stessi operatori nelle svolgimento delle attività.

Le coperture assicurative previste per il personale dipendente dovranno essere accese anche in riferimento a volontari od obiettori di coscienza, se utilizzati.

Art.5

Monitoraggio e verifica dei progetti

Il Responsabile del caso viene individuato dalla UVM Disabili ed è punto di riferimento del Coordinatore della Struttura e dei referenti tecnico/operativi individuati in riferimento agli interventi prestati nei confronti degli utenti inseriti;

Il PAI/PEI, predisposto tenendo conto degli obiettivi definiti dall’ UVM/Equipe nel Progetto individualizzato , viene condiviso e sottoscritto dal Responsabile del Caso, dai referenti individuati dalla struttura e dal Coordinatore della struttura e dall’utente, (quando possibile), dal familiare e/ o rappresentante legale. Tale documento è soggetto a monitoraggio e verifica periodica secondo cadenze condivise in sede tecnica e , comunque, almeno 1 volta l’ anno. Eventuali modifiche del PAI/PEI o incontri di verifica aggiuntivi possono essere proposte dal Responsabile del Caso, dal Coordinatore di Struttura e dai referenti tecnico/operativi della struttura. Una copia del documento deve essere presente in struttura.

Nell’ ambito del PAI/PEI sono definite anche le modalità ed il piano di frequenza della struttura. Ogni modifica che comporta una variazione delle retta praticata deve essere preventivamente autorizzata dal Distretto/ASP/ASC/ Unione.

Referenti tecnici ed operativi:

• per il Distretto/ ASP/ ASC /Unione Ussi/ UO Disabili Adulti / l’ Assistente Sociale/Educatore Professionale indicato nella lettera di autorizzazione all’inserimento, con funzioni di Responsabile del Caso ;

• per la struttura con qualifica di .

Eventuali variazioni del Responsabile del Caso o del referente tecnico sopra individuati dovranno essere comunicate per iscritto in modo anticipato e non comportano la sottoscrizione di un nuovo contratto. Le parti si impegnano a garantire il corretto passaggio del caso sul piano tecnico/educativo ed assistenziale.

Il piano di frequenza ed inserimento presso la struttura è indicato nella lettera di autorizzazione all’inserimento.

( Eventuale) : sono previsti i seguenti parametri ed attività aggiuntive e personalizzate:

Eventuali variazioni alle modalità di frequenza, dovranno essere concordate con il Responsabile del caso e diverranno operative solo dopo la dovuta preventiva autorizzazione da parte del Distretto/ASP/ASC/Unione. Tali modifiche ed integrazioni, se concordate/autorizzate in forma scritta nel periodo di validità del presente contratto non ne prevedono una nuova sottoscrizione.

Le dimissioni dell’ utente dalla struttura possono derivare da una modificata condizione della persona e del suo progetto di vita e di cure, sono da definire in sede di UVM Disabili sulla base di verifiche del PAI/PEI, da valutazioni di tipo assistenziale, educativo e riabilitativo e condivise con l’utente e la famiglia o legale rappresentante.

E’ specifica competenza del Responsabile del Caso mantenere i rapporti con la famiglia e con l’ utente nell’ ambito della verifica del Piano Individualizzato, spetterà quindi al Responsabile del caso il compito di condividere con l’ utente ed i famigliari le modifiche al PAI/PEI e, nel caso, anche le dimissioni dalla struttura. Sarà cura del Distretto/ASP/ASC/ Unione , previa condivisione dei tempi e delle modalità con la famiglia e l’ utente, formalizzare le dimissioni al gestore ed al coordinatore della struttura garantendo il dovuto raccordo con la struttura.

Art. 6 Oneri

La retta giornaliera complessiva per l’accoglienza presso la struttura concordata tra le parti è indicata nell’unito allegato tecnico- economico.( allegato A).

Per utenti disabili :

Tali rette saranno addebitate all’Azienda USL/ASP/ASC/Unione con emissione di fatture mensili dalle quali sia possibile desumere in modo chiaro il periodo di riferimento, le giornate di presenza e le giornate di assenza, la tariffa praticata. Dovranno essere applicate le seguenti quote di riparto :

- quota a carico del FRNA (%) indicare la percentuale di riparto come definita in ragione della specifica tipologia di intervento dal Comitato di Distretto

- quota Sociale ( %) indicare la percentuale di riparto come definita in ragione della specifica tipologia di intervento dal Comitato di Distretto

Non sono previsti automatismi per l’adeguamento delle rette che potranno essere sottoposte a rivalutazione ISTAT previa richiesta del Gestore, sulla base degli eventuali accordi di livello aziendale definiti con i principali rappresentanti dei fornitori (Centrali Cooperative), trascorso un anno dalla stipula del presente contratto.

Qualsiasi adeguamento delle rette o delle detrazioni per assenza di cui al successivo art. 7 dovrà essere preventivamente autorizzato formalmente dall’Azienda Usl/ASP/ASC/Unione

Gli oneri economici a carico della Azienda USL/ASP/ASC/Unione si intendono sussistenti fino al giorno della effettiva dimissione dell’ ospite per qualsivoglia causa e motivazione. Per il

giorno della dimissione sarà corrisposta al gestore l’ intera quota economica ad esclusione dell’ eventuale contribuzione dell’ utente.

( Nel caso in cui gli oneri in tutto o in parte sia sostenuti direttamente da ente diverso dall’ AUSL – ASC o ASP/Unione il presente articolo dovrà essere modificato e/o Integrato con le relative modalità di gestione dei costi ).

Art. 7 Assenze

In relazione alle assenze si concorda che i giorni di assenza si conteggiano sulla base dei pernottamenti fuori dalla struttura. In caso di assenze non programmate (in particolare ricoveri ospedalieri) per ciascun giorno di assenza documentato dal Gestore la retta giornaliera ( anche in riferimento ad eventuali quote di contribuzione a carico dell’ utente e dei suoi famigliari ) sarà corrisposta ridotta del 20% ad esclusione del primo giorno. ( nel caso delle strutture residenziali disabili )

Qualora l’ utente risulti a qualsiasi titolo assente in modo non programmato dal servizio (intendendosi per assenza la mancata fruizione del servizio) per ciascun giorno di assenza documentato dal gestore oltre il primo, la retta giornaliera ( comprese quote di contribuzione a carico dell’ utente e dei suoi famigliari) sarà corrisposta ridotta del 20%. (caso delle strutture semiresidenziali disabili)

Le assenze programmate ( periodi di assenza previsti dal PAI/PEI o giornate di assenza comunicate con anticipo), comportano sin dal primo giorno la corresponsione della retta giornaliera ridotta del 20% ( anche in riferimento ad eventuali quote di contribuzione a carico dell’utente e dei suoi familiari ) .

Art. 8 Trasporti

Il soggetto gestore si impegna a garantire il trasporto gli utenti per visite mediche e prestazioni ambulatoriali nonché per finalità ricreative e socializzanti secondo quanto previsto dai rispettivi PAI/PEI. Tali prestazioni sono comprese nell’ ambito della retta giornaliera ( caso delle strutture residenziali).

Il soggetto gestore si impegna a garantire il trasporto gli utenti per garantire lo svolgimento di tutte le attività previste nel PAI/PEI. Tali prestazioni sono comprese nell’ ambito della retta giornaliera.

In Gestore, inoltre, garantisce anche i trasporti da casa alla struttura e viceversa.

Il corrispettivo dovuto per tale prestazione aggiuntiva , determinato per ogni unità di andata e ritorno è indicato nell’unito allegato tecnico – economico ( allegato A) .

Tali costi saranno fatturati con le seguenti quote di riparto :

Il Gestore è responsabile della sicurezza del trasporto , dell’ adeguatezza del mezzo in relazione alle caratteristiche dell’ utenza e del possesso delle necessarie abilitazioni da parte del personale che effettua il trasporto stesso.

Art. 9

Fatturazione e modalità di pagamento

Il Gestore, entro le prime due settimane successive alla chiusura del mese al quale si riferiscono le prestazioni, provvederà ad emettere apposita fatturazione elettronica con dettaglio delle prestazioni effettuate per ciascun utente inserito, di cui una relativa ai costi relativi alla quota FRNA ed una relativa alla contabilizzazione dei costi per la quota Sociale. Tali fatture, corredate dal foglio presenze, dovranno essere emesse con la seguente suddivisione :

- Fatturazione quota FRNA pari al % del corrispettivo a carico dell’Azienda Usl

- Fatturazione quota Sociale pari al % del corrispettivo a carico di Le Fatture devono riportare :

• riferimento dell’utente/i accolto/i in struttura

• periodo di riferimento e giornate di presenza

• indicazione della determinazione di che disciplina il rapporto con il Gestore

• indicazione del numero d’ordine aziendale informatizzato comunicato dal competente Ufficio Contabilità del Distretto di ./ ASC / ASP /Unione

• indicazione del CIG (Codice Identificativo Gara) comunicato dal competente Ufficio Contabilità del Distretto di e dal Comune/ASP/Unione dei Comuni

Le fatture di competenza dell’Ausl ( quota FRNA) dovranno essere intestate a: AZIENDA U.S.L. DI BOLOGNA

Codice fiscale e partita IVA: 02406911202

Sede Legale: Xxx Xxxxxxxxxxx 00 – 00000 XXXXXXX e indirizzata a:

AZIENDA U.S.L. di Bologna

U.O. ECONOMICO FINANZIARIO Xxx Xxxxxxx 00 – 00000 XXXXXXX

PEC: xxxxxxxxxx.xxxxxxx@xxxx.xxxxxxx.xx

Riferimenti per invio fattura elettronica:

Codice univoco ufficio - i.P.A. (per ricevimento fatture) UFVSRG

La Regione Xxxxxx Xxxxxxx (Delibera di Giunta n. 287/2015) ha stabilito che le aziende sanitarie regionali e i loro fornitori sono tenuti ad emettere/ricevere ordini e documenti di trasporto in modalità elettronica, sulla base dello standard Europeo PEPPOL (Pan European Public Procurement On Line). Pertanto tutti i gestori dal 1 gennaio 2021 dovranno possedere necessariamente un “identificativo PEPPOL”.

Oltre all’originale, per il controllo delle prestazioni rese, copia della fattura ad uso amministrativo o fac-simile e del foglio presenze, dovrà essere inviata entro il medesimo termine per posta, posta elettronica certificata(indirizzo PEC ) o xxx Xxx ( ) xx

Xxxxxxxxx , xxx , x. , XXX - Xxxxxxx

Xx fatture di competenza di Asp/ASC/ Unione (quota Sociale) dovranno essere intestate a:

………………………………….

Codice fiscale e partita IVA: …………..

Via …………. n. …. – Cap …………, -……… ( ..) e inviate a:

………………………………

Via --------------, CAP………, ……………………( ) Tel : Fax : PEC :

Riferimenti per invio fattura elettronica:

……………………

Codice univoco ufficio (per ricevimento fatture) ………………

Il Gestore, ai sensi dell’art. 3 della L.136 del 13/8/2010 e s.m., assume l’obbligo di tracciabilità dei flussi finanziari.

Il rapporto contrattuale pertanto s’intenderà risolto qualora le transazioni finanziarie non venissero eseguite tramite lo strumento del bonifico bancario o postale.

Il pagamento delle fatture avverrà entro 60 giorni data ricevimento fattura.

Art.10

Cause di risoluzione

L’Azienda USL Distretto di/ ASC/ASP/Unione si riserva la facoltà di recedere dal presente contratto previa diffida e a seguito di formale disdetta notificata con 30 giorni di anticipo qualora si ravvisino nella gestione/svolgimento degli interventi di cui al presente atto, gravi e persistenti inconvenienti operativi imputabili al Gestore. La medesima facoltà, secondo le stesse modalità sopra indicate, è data al gestore in caso di violazione delle pattuizioni da parte dell’Azienda Usl/ASP/ASC/Unione.

Qualora l’ aggiornamento e/o la modifica del Progetto Individualizzato comportino la sospensione o la conclusione dell’ intervento il Distretto/ASP/ASC/Unione invierà al gestore

formale comunicazione di risoluzione del rapporto definendo, con anticipo di almeno 15 giorni, la data dalla quale il contratto si intende risolto.

L’Azienda Usl si riserva la facoltà insindacabile di risolvere in via immediata ed in modo unilaterale il rapporto con il gestore, senza che da ciò possa derivare pretesa :

• qualora reputi necessario agire a tutela dell’ integrità psico-fisica dell’ utente,

• in caso di revoca o sospensione dell’ autorizzazione al funzionamento prevista dalla DGR 564/900 e xx.xx ed int. e/o perdita dei requisiti prescritti per l’esercizio dell’attività;

In caso di risoluzione del contratto o di revoca dell’ autorizzazione al funzionamento e/o perdita dei requisiti prescritti per l’esercizio dell’attività, al gestore sarà corrisposto il solo compenso relativo alle prestazioni effettivamente rese.

Art. 11

TRATTAMENTO DEI DATI PERSONALI E NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679

Ai sensi e per gli effetti dell'art. 26 del Regolamento (UE) 2016/679 (di seguito "GDPR" o "Regolamento") quando due o più soggetti titolari del trattamento dei dati personali condividono le finalità e le modalità del trattamento stesso,sono qualificati come Contitolari del trattamento.

Ai fini dell’applicazione del Regolamento UE le parti danno reciprocamente atto che l’Azienda USL di Bologna (di seguito Azienda) e il Comune di Bologna/ASP/Unione dei Comuni (di seguito Comune ) sono Contitolari del trattamento e convengono che il rapporto di Contitolarità sia regolato da uno specifico atto giuridico denominato ‘Accordo di Contitolarità’ e dagli stessi sottoscritto e allegato quale parte integrante e sostanziale del presente atto

I Contitolari del trattamento nominano, mediante sottoscrizione del presente atto, la Ditta/Società………………………… quale Responsabile del trattamento ai sensi dell’art. 28 del GDPR allo scopo di procedere al corretto trattamento dei dati, relativi all’oggetto del presente contratto (ALLEGATO 2 “DESCRIZIONE DELLE ATTIVITÀ DI TRATTAMENTO”).

I Contitolari del trattamento convengono che siano applicate dal Responsabile le Istruzioni del Trattamento Dati e le Indicazioni sulla procedura del Data-Breach definite dall’AUSL di Bologna.

In particolare, il Responsabile del trattamento è tenuto:

1. ad adottare opportune misure atte al rispetto dei requisiti del trattamento dei dati personali previste dall’art. 5 del GDPR;

2. ad adottare le misure di sicurezza previste dall’art. 32 del GDPR, eventualmente indicate dal Titolare del trattamento, dal Garante per la protezione dei dati personali e/o dal Comitato Europeo con propria circolare, risoluzione o qualsivoglia altro provvedimento eventualmente diversamente denominato;

3. ad autorizzare i soggetti che procedono al trattamento, ai sensi e con le modalità di cui all’art. 29 del GDPR, secondo la procedura interna del medesimo e, comunque,

impegnando i medesimi soggetti autorizzati che non siano eventualmente tenuti al segreto professionale affinché rispettino lo stesso livello di riservatezza e segretezza imposto al Titolare del trattamento;

4. ad assistere i Contitolari del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l ’esercizio dei diritti di cui Capo III del GDPR, ai sensi dell’art. 28, comma 1, lett. e) del GDPR.

In particolare, è fatto obbligo al Responsabile del trattamento di attenersi alle istruzioni impartite dai Contitolari, allegate al presente accordo e da considerare parte integrante dello stesso (Allegato 3 “ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO

DEI DATI PERSONALI”) oltre a garantire che le operazioni di trattamento siano svolte secondo l’ambito consentito e nel rispetto dei singoli profili professionali di appartenenza, nel rispetto della riservatezza e confidenzialità dei dati.

Il Responsabile del trattamento con la sottoscrizione della presente convenzione s’impegna a prendere visione e ad attenersi scrupolosamente a tutte indicazioni di cui alla procedura approvata con Deliberazione n. 146/2019, rinvenibile al link xxxxx://xxx.xxxx.xxxxxxx.xx/xxx- bologna/staff/anticorruzione-trasparenza-e-privacy/privacy/org/DEL146-2019DB.

La presente designazione è da ritenersi valida per tutta la durata del rapporto contrattuale e si intende comunque estesa ad eventuali futuri contratti aventi ad oggetto servizi analoghi o prestazioni sanitarie ulteriori e che comportino un trattamento di dati personali da parte del Responsabile del trattamento, in nome e per conto del Titolare del trattamento.

Ai fini della responsabilità civile si applicano le norme di cui all’articolo 82 del GDPR. Resta fermo che, anche successivamente alla cessazione o alla revoca del presente accordo, il Responsabile del trattamento dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare del trattamento delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.”

Per quanto non espressamente previsto nel presente articolo, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali, nonché alle disposizioni di cui al presente contratto.

Art. 12 – Codice di comportamento

Gli obblighi di condotta previsti dal codice di comportamento dei dipendenti pubblici di cui al DPR n. 62 del 16/4/2013 e dai Codici di comportamento approvati da ciascuna parte Committente, si applicano, per quanto compatibili, al Gestore del servizio ed ai sui collaboratori a qualunque titolo.

Il gestore dichiara con la sottoscrizione del presente atto, di aver preso visione dei citati codici di comportamento reperibili sui siti istituzionali dei Committenti.

La violazione da parte del gestore e dei suoi collaboratori degli obblighi previsti in tali atti (codice generale e codici aziendali) costituisce causa di risoluzione o di decadenza del presente contratto.

Art.13 Durata

Il presente contratto ha validità di anni con validità dal al e potrà essere rinnovato di ulteriori con specifico provvedimento.

Art. 14 Spese contrattuali e di registrazione

Il presente contratto è soggetto a registrazione solo in caso d’uso. Tutte le spese contrattuali inerenti e conseguenti al presente atto, comprese le imposte di bollo se dovute e di eventuale registrazione, sono a carico del Gestore. Per quanto non previsto si rinvia alle disposizioni di legge e regolamentari in vigore.

Art. 15 Foro competente

In caso di lite fra le parti, il Foro competente è esclusivamente quello di Bologna.

Art. 16 Norma finale e regime speciale connesso all’emergenza covid-19

Per quanto non espressamente previsto nel presente atto si applicano le norme del codice civile e le altre normative vigenti che regolano la materia, in quanto applicabili e compatibili con la natura dell’atto.

Il gestore dovrà altresì attenersi a tutte le disposizioni in materia di prevenzione e gestione di eventuali criticità di tipo sanitario ed organizzativo, quali ad esempio quelle connesse alla pandemia Covid 19, nonché ai protocolli di natura tecnica previsti per le attività oggetto del presente contratto.

Si conviene che eventuali integrazioni o modificazioni del contratto dipendenti da aggiornamenti normativi o per adeguamenti in materia tariffaria, saranno formalizzati tra i contraenti senza necessità di riscrittura del presente contratto, ma aggiornando gli elementi indicati nell’allegato tecnico- economico.

Analogamente si procederà anche per aspetti interpretativi o integrativi delle clausole contrattuali.

Letto confermato e sottoscritto.

lì,

per il Gestore

Il Presidente e Legale Rappresentante

Per l’Azienda Usl di Bologna il Direttore del Distretto di Committenza e Garanzia

Per l’ASC

Per l’ASP

Per l’Unione

ALL. A) al Contratto

Allegato tecnico-economico valevole dal al

Nome Struttura: Soggetto Gestore:

Totale Posti:

Retta giornaliera:

Retta giornaliera complessiva per l’accoglienza presso la struttura

€ +iva %per giornata frequenza intera:

- di cui:€ +iva % a carico del FRNA

- di cui €_ _+iva %a carico Utente/Comune (quota Sociale)

Retta giornaliera complessiva per l’accoglienza presso la struttura

€ +iva %per giornata ridotta(vale per i semiresidenziali)

- di cui:€ +iva %acarico del FRNA

- di cui €_ _+iva % a carico Utente/Comune (quota Sociale)

Altri costi:

Costo trasporto dall’abitazione alla struttura e viceversa (eventuale)

€ + iva % giornalieri – procapite - per ogni unità di trasporto di andata e ritorno

- di cui €_ +iva % a carico

- di cui €_ _+iva % a carico

Altre specifiche/annotazioni/osservazioni:

Data

Per l’Ausl di Bologna

Il Direttore di Distretto

Per l’Asp/ASC/Unione

Per il Gestore

Il Legale Rappresentante_

ALLEGATO1 al Contratto

ACCORDO DI CONTITOLARITÀ PER TRATTAMENTO DEI DATI PERSONALI

Al SENSI DELL'ART. 26 DEL REGOLAMENTO UE 2016/679

TRA

L’Azienda USL di Bologna – IRCCS Istituto delle Scienze Neurologiche di Bologna con sede legale in Bologna, Xxx Xxxxxxxxxxx 00 – 40124, C.F. –

P.I. 02406911202 in persona del Legale Rappresentante, nella sua qualità di Direttore Generale, Xxxx. Xxxxx Xxxxxx;

Il Comune / ASP/ASC/ UNIONE Comuni

_ _ _ __

di seguito indicati per brevità Parti o Contitolari PREMESSO:

▪ che il Titolare del trattamento dei dati personali, in continuità con il D.lgs. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal D.lgs. 101/2018, rappresenta, nell’ambito del quadro normativo in materia di protezione dei dati, il soggetto a cui competono le decisioni relative alle finalità e ai mezzi del trattamento;

▪ che il Regolamento UE 2016/679 (di seguito anche: "GDPR" o il "Regolamento") non esclude la possibilità che in talune circostanze due o più titolari possano determinare congiuntamente le finalità e i mezzi del trattamento dei dati. In tal senso si esprime l’art. 26 dello stesso che configura tali soggetti quali “contitolari”, i quali, attraverso un accordo interno stabiliscono:

o le rispettive responsabilità in merito all’osservanza degli obblighi derivanti da GDPR, con riguardo particolare all’esercizio dei diritti dell’interessato;

o le relative funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 del GDPR;

▪ che, a tal fine, risulta necessario stipulare un accordo interno che indichi le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni previste dagli artt. 13 e 14 del GDPR;

▪ che il trattamento dei dati personali e di natura particolare, oggetto della contratto di cui il presente accordo è parte integrante e sostanziale e verrà svolto in comune (elementi di fatto e di diritto della convenzione o del contratto);

▪ che lo schema giuridico più idoneo al trattamento di tali dati sia un modello che preveda una contitolarità fra l’AUSL di Bologna e il Comune/ ASP/ASC/ Unione ;

▪ che nell'ambito delle rispettive responsabilità, così come determinate dal presente Accordo, tanto l’Azienda USL di Bologna, quanto la

dovranno, in ogni momento, adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti,

Tutto ciò premesso,

Si conviene e si stipula quanto segue:

Art. 1 - Valore delle premesse

Nella premessa sono riportate le ragioni che giustificano il presente accordo le cui specificazioni sono dettagliate negli articoli seguenti. Le premesse e gli eventuali allegati del presente accordo costituiscono parte integrante e sostanziale dello stesso, nonché parte integrante e sostanziale del contratto/accordo/convenzione da cui discente il presente accordo di contitolarità.

Art. 2 – Oggetto e finalità

Il presente accordo di contitolarità regolamenta l’ambito di azione e le responsabilità dei contitolari del trattamento in merito all’osservanza degli obblighi derivanti dal GDPR, compreso il rapporto con le categorie dei soggetti i cui dati saranno oggetto del trattamento. In particolare, l’accordo ha lo scopo di definire i compiti dei contitolari relativamente alle attività riconducibili a ciascuno di essi nell’ambito del contratto.

Art. 3 - Tipologie dei dati e ambito di trattamento

Nel rispetto dei principi di finalità, trasparenza, esattezza e indispensabilità, per la realizzazione delle attività/servizi, vengono raccolti e registrati dati personali e/o dati personali di natura particolare. A questo riguardo, gli Enti si impegnano a fornire le informazioni di cui all’art. 13 del GDPR.

Art. 4 - Adempimenti in materia di trattamento di dati personali

Con la sottoscrizione del presente accordo, ciascuna parte dichiara di avere adempiuto e si impegna ad adempiere in futuro agli obblighi previsti dalla normativa in materia di trattamento di dati personali e a trattare i dati raccolti nel rispetto delle finalità sopra specificate. Relativamente alla contitolarità dei dati trattati le parti si impegnano ad adottare le misure di sicurezza previste

dall’art. 32 del GDPR e ad adottare le particolari misure previste dalla normativa in caso di trattamento di dati personali di natura particolare.

Le Parti si impegnano, qualora tali funzioni siano previste, a:

1. designare gli amministratori di sistema, conformemente a quanto previsto dal Provvedimento dell'Autorità Garante per la protezione dei dati personali del 27 novembre 2008;

2. elaborare un piano di continuità operativa e di disaster recovery ai sensi dell'art. 51 comma 1 del D.lgs. 82/2015 così come modificato dall'art. 41 comma 1 lett. a) del D.lgs.179/2016;

Art. 5 - Informativa resa agli interessati

Le Parti si impegnano ad adottare modalità coordinate di rilascio dell'informativa secondo le indicazioni contenute all'art. 13 del GDPR, con le finalità emarginate in premessa e, in ogni caso, forniscono specifica informativa relativa al trattamento dei dati personali nelle modalità che consentano la più ampia diffusione, come, a titolo esemplificativo, sui siti istituzionali degli Enti nelle pagine relative alla promozione dell’iniziativa di cui al presente accordo.

Nei casi in cui i dati siano raccolti in presenza dell’interessato l’informativa per il trattamento dei dati personali per finalità di cura è somministrata dall’Azienda/Istituto che ha in carico l’utente stesso.

È fatto salvo quanto previsto dalla normativa vigente, in merito al rilascio dell'informativa e all'acquisizione del consenso al trattamento dei dati di natura particolare, nello specifico dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Art. 6 - Obblighi per le parti derivanti dall'esercizio dei diritti dell'interessato

Resta inteso tra le Parti che, ai sensi dell'art. 26, comma 3 del GDPR, indipendentemente dalle disposizioni del presente Accordo, l'interessato potrà esercitare i propri diritti nei confronti di e contro ciascun Contitolare del trattamento.

L'obbligo di risposta derivante dalle richieste di esercizio dei diritti dell'interessato sarà effettuata dalla Parte che avrà materialmente provveduto all'obbligo d'informazione di cui sopra.

Art. 7 - Responsabilità

Le Parti saranno responsabili in solido per l'intero ammontare del danno al fine di assicurare l’effettivo risarcimento all'interessato.

Ciascuna della Parti potrà essere chiamata individualmente a risarcire in toto l'interessato che abbia dimostrato di aver subito un danno dal Trattamento. Nel caso in cui una delle Parti abbia provveduto al risarcimento per intero del danno subito dall’interessato, potrà esercitare azione di rivalsa nei confronti dell’altra Parte, responsabile effettiva del danno, esercitando l'azione di regresso.

Art. 8 - Pubblicità

Le Parti si impegnano altresì, ai sensi dell'art. 26, comma 2 del GDPR, a mettere a disposizione dell'interessato il contenuto essenziale del presente Accordo, riportandolo nelle proprie informative.

Art. 9 - Sicurezza

Le Parti si impegnano a mettere in atto tutte le misure di tecniche e organizzative adeguate per proteggere i dati personali raccolti, trattati o utilizzati nell'ambito del rapporto di contitolarità, fornendo sufficiente documentazione, se richiesta, alla controparte.

Art.10 - Notifica all'Autorità di controllo delle violazioni di dati personali (c.d. data breach)

Le Parti hanno l’obbligo di comunicarsi reciprocamente qualsiasi violazione dei dati personali (“Data Breach”) entro e non oltre 72 ore dall’esserne venute a conoscenza. Tale notifica deve essere corredata di tutta la documentazione necessaria per consentire, ove necessario, di notificare tale violazione all’Autorità Garante per la Protezione dei dati Personali, ai sensi dell’art. 33 del GDPR.

La comunicazione dovrà contenere almeno le seguenti informazioni:

a. la natura della violazione dei dati personali

b. la categoria degli interessati

c. gli elementi di contatto presso cui ottenere più informazioni

d. gli interventi attuati o che si prevede di attuare.

Le Parti si impegnano a collaborare alle indagini e alle istruttorie interne alle rispettive organizzazioni e a redigere congiuntamente la notifica di violazione nonché, ove necessaria, la comunicazione della violazione all’interessato ai sensi dell’art. 34 del Regolamento.

Per i fini perseguiti al presente paragrafo, le Parti indicano qui di seguito i rispettivi indirizzi di posta elettronica a cui inviare ogni segnalazione e informazione relativa ad eventuali violazioni di dati personali:

- per l’Azienda USL di Bologna: xxxxxxx@xxxx.xxxxxxx.xx e xxx@xxxx.xxxxxxx.xx.

- per il Comune / ASP/ASC/ Unione

Art. 11 – Modalità di esercizio dei diritti dell’interessato

Le Parti convengono che le richieste di esercizio dei diritti degli interessati di cui agli artt. 15-22 del GDPR possono essere presentate nei confronti di ciascuno o entrambi i Contitolari, come previsto dall’art. 26, 3° comma, del GDPR.

I Contitolari debbono collaborare e assistersi vicendevolmente nell’adempimento dell’obbligo di evadere le istanze degli interessati, fornendo e rendendo accessibili le informazioni e gli elementi necessari al fine di fornire un tempestivo riscontro all’interessato nel rispetto dei termini indicati all’art. 12, 3° e 4° comma del Regolamento.

Nell’eventualità in cui il Contitolare ricevente non provveda all’inoltro dell’istanza dell’interessato all’altro Contitolare, ometta, ritardi o rifiuti ingiustificatamente di soddisfare la richiesta dell’interessato, la responsabilità di tale azione rimarrà in capo esclusivamente al Contitolare diretto e originario destinatario dell’istanza. Analogamente, nel caso in cui il Contitolare ometta, ritardi o rifiuti ingiustificatamente di fornire le informazioni necessarie all’altro Contitolare ai fini del riscontro all’interessato, la responsabilità residuerà unicamente in capo al primo.

Art. 12– Modifiche

Resta inteso che il presente Accordo non comporta alcun diritto per i Contitolari del trattamento ad uno specifico compenso, indennità o rimborso per le attività svolte, ulteriore rispetto a quanto già stabilito.

Le eventuali modifiche al presente Accordo sono apportate per iscritto. L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.

Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto.

Art. 13 - Durata dell'Accordo

Il presente accordo decorre dal ----/-----/20---- al ---/---/20---, con possibilità di effettuare rinnovi, se occorrenti.

Letto, confermato e sottoscritto

per l’Azienda USL di Bologna Il Direttore Generale

_____________________________

Per il Comune/ ASP/ ASC/ Unione

_____________________

ALLEGATO 2 al Contratto

DESCRIZIONE DELLE ATTIVITÀ DI TRATTAMENTO

(Ambito del trattamento - art. 28, paragrafo 3, GDPR a cura del Titolare del trattamento)

Categorie di interessati (ad es. persone fisiche pazienti/clienti/utenti del Titolare del trattamento)

• ........................................................................................................................................

Tipo di dati personali oggetto di trattamento (indicare se dati comuni, categorie particolari, dati

relativi a condanne penali e reati)

• ........................................................................................................................................

Oggetto, natura e finalità del trattamento (ad es. descrizione sintetica del servizio di trattamento dati reso dal Responsabile del trattamento al Titolare del trattamento o fare specifico rinvio all’oggetto del contratto principale - se presente - stipulato con il Responsabile del trattamento:

esecuzione di servizi in ambito sistemi informativi)

• ........................................................................................................................................

ALLEGATO 3 al Contratto

ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

Regolamento (UE) 2016/679 e D.Lgs 196/2003 come modificato dal D.Lgs 101/2018

Il Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento solo ed esclusivamente ai fini dell’esecuzione dei servizi oggetto dell'accordo nel rispetto della normativa vigente in materia di protezione dei dati personali, nonché delle seguenti istruzioni impartite dal Titolare del trattamento.

Misure di sicurezza (art. 32 GDPR)

Il Responsabile del trattamento, per quanto di propria competenza, è tenuto in forza di legge e del presente accordo, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa vigente in materia di trattamento di dati personali fornendo assistenza al Titolare del trattamento nel garantire il rispetto della medesima.

Il Responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:

- distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;

- trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.

Il Responsabile del trattamento applica le misure di sicurezza, di cui al punto precedente, al fine di garantire:

- se del caso, la pseudonimizzazione e la cifratura dei dati personali;

- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Il Responsabile del trattamento è tenuto a implementare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, trasmettendo tempestivamente al Titolare del trattamento la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito adottate.

Il Responsabile del trattamento assicura l’utilizzo di strumenti, applicazioni e/o servizi che rispettino i principi di protezione dei dati personali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default).

Valutazione di impatto (art. 35 GDPR)

Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione dello stesso, assiste il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. 35 e 36 del GDPR.

Nello specifico:

- fornisce tutte le informazioni e tutti gli elementi utili al Titolare del trattamento per la effettuazione della valutazione di impatto sulla protezione dei dati, nonché dell’eventuale consultazione preventiva alla Autorità Garante;

- assicurare la massima cooperazione e assistenza per dare effettività alle azioni di mitigazione eventualmente previste dal Titolare del trattamento per affrontare possibili rischi identificati a seguito degli esiti della valutazione di impatto effettuata sui trattamenti di dati personali cui il Responsabile del trattamento concorre.

Registro delle attività di trattamento (art. 30 GDPR)

Il Responsabile del trattamento, ove ricorrano le ipotesi di cui all’art. 30 del Regolamento, dovrà tenere un registro ex art. 30.2 nel quale identifica e censisce i trattamenti di dati personali svolti per conto del Titolare del trattamento, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività oggetto del presente accordo.

Tale registro, da esibire, in caso di ispezione della Autorità Xxxxxxx, deve contenere:

- il nome e i dati di contatto del Responsabile del trattamento, del Titolare del trattamento per conto del quale il Responsabile agisce e, ove applicabile, del Data Protection Officer (DPO);

- le categorie dei trattamenti effettuati per conto del Titolare del trattamento;

- se del caso, i trasferimenti di dati personali verso paesi terzi, compresa l’identificazione del paese terzo e la relativa documentazione di garanzia;

- la descrizione generale delle misure di sicurezza tecniche ed organizzative applicate a protezione dei dati.

Data Breach (art. 33 GDPR)

Il Responsabile del trattamento deve fornire tutto il supporto necessario al Titolare del trattamento ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Nella misura in cui la violazione dei dati personali sia causata da una violazione del Responsabile del trattamento o dei suoi Sub-responsabili delle disposizioni del presente atto di nomina, dell'accordo o delle Leggi sulla protezione dei dati applicabili, tenendo conto della natura della violazione dei dati personali e del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche coinvolte, il Responsabile del trattamento, su istruzione di Titolare del trattamento, opererà tutti gli sforzi necessari per identificare e porre rimedio alla causa della violazione dei dati personali, per mitigare i rischi per i diritti e le libertà delle persone fisiche coinvolte e per assistere ulteriormente il Titolare del trattamento con ogni ragionevole richiesta nel rispetto delle leggi sulla protezione dei dati relative alle violazioni dei dati personali.

Si rinvia all’ALLEGATO 2 per quanto di competenza.

Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto del Titolare del trattamento.

Soggetti autorizzati allo svolgimento di operazioni di trattamento dei dati personali – Designazione

Il Responsabile del trattamento:

- provvede ad individuare le persone fisiche da nominare autorizzati al trattamento, attribuendo loro specifici compiti e funzioni e fornendo loro adeguate istruzioni scritte circa le modalità del trattamento dei dati;

- assicura competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali effettuati per conto del Titolare del trattamento;

- assicura che gli autorizzati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica consegnando al Titolare del trattamento, per il tramite dei Referenti privacy aziendali di riferimento, le evidenze di tale formazione;

- vigila sull’operato degli autorizzati, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento delle loro attività, anche successivamente alla cessazione del rapporto di lavoro/collaborazione con il Responsabile del trattamento. In ogni caso, il Responsabile del trattamento è ritenuto direttamente responsabile per qualsiasi divulgazione di dati personali da parte degli autorizzati.

Amministratori di sistema

Il Responsabile del trattamento, per quanto concerne i trattamenti effettuati per fornire il servizio oggetto del accordo dai propri incaricati con mansioni di “amministratore di sistema”, è tenuto altresì al rispetto delle previsioni contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009, in quanto applicabili. Il Responsabile del trattamento, in particolare, si impegna a:

- designare quali amministratori di sistema le figure professionali da individuare e dedicare alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;

- predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate ed individuate quali amministratori di sistema e le funzioni ad essi attribuite, unitamente all’attestazione delle conoscenze, dell’esperienza, della capacità e dell’affidabilità degli stessi soggetti, i quali devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;

- fornire il suddetto elenco al Titolare del trattamento, e comunicare ogni eventuale aggiornamento allo stesso;

- verificare annualmente l’operato degli amministratori di sistema, informando il Titolare del trattamento, circa le risultanze di tale verifica;

- mantenere i file di log previsti in conformità alle disposizioni contenute provvedimento dell’Autorità Garante sopra richiamato.

Sub-responsabile del trattamento

Per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento e previa autorizzazione scritta specifica da richiedere a quest’ultimo, il Responsabile del trattamento può ricorrere ad altro responsabile (c.d. Sub-responsabile del trattamento). In questi casi il Responsabile del trattamento si obbliga ad imporre per iscritto al Sub-responsabile del trattamento, mediante atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati personali cui lo stesso è soggetto, in particolare rispetto agli obblighi in materia di sicurezza. Nel caso in cui il Responsabile del trattamento ricorra ad un Sub-responsabile stabilito in un Paese extra-UE, sarà suo onere adottare adeguati strumenti per legittimare il trasferimento ai sensi degli artt. 44 e ss. del GDPR.

Il Titolare del trattamento può chiedere al Responsabile del trattamento:

- il rilascio di copia degli accordi stipulati tra Responsabile e Sub-responsabile del trattamento (omettendo le sole informazioni strettamente confidenziali e gli accordi economici, se del caso);

- l’esperimento di audit nei confronti dei propri Sub-responsabili del trattamento;

- conferma che gli audit sono stati condotti per dimostrare la conformità dei Sub-responsabili del trattamento alla normativa in materia di protezione dei dati personali, nonché alle istruzioni impartite dal Titolare del trattamento.

Il Responsabile del trattamento si impegna espressamente ad informare il Titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di eventuali Sub-responsabili del trattamento, dandogli così l’opportunità di opporsi a tali modifiche. Il Responsabile del trattamento non può ricorrere ai Sub-responsabili del trattamento nei cui confronti il Titolare del trattamento abbia manifestato la sua opposizione.

Qualora il Sub-responsabile ometta di adempiere ai propri obblighi, il Responsabile del trattamento conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’inadempimento degli obblighi del Sub-responsabile del trattamento. In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti del Titolare del trattamento per qualsiasi violazione od omissione realizzati da un Sub-responsabile del trattamento o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto

Data Protection Officer (DPO)

Il Responsabile del trattamento comunica al Titolare del trattamento il nome e i dati di contatto del proprio Data Protection Officer (DPO), ove designato all’indirizzo: xxxxxxx@xxxx.xxxxxxx.xx

Tale comunicazione deve contenere il nome del Responsabile del trattamento, l'accordo di riferimento.

Il Titolare del trattamento comunica con la presente i riferimenti del proprio DPO: email xxx@xxxx.xx.xx; pec xxx@xxx.xxxx.xx.xx

Sede c/o IRCCS Azienda Ospedaliero - Universitaria di Bologna Xxx Xxxxxxxxxx, 0 - 00000 Xxxxxxx.

Attività di audit da parte del Titolare del trattamento

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, compresi gli audit, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato. A tale scopo il Responsabile del trattamento riconosce al Titolare del trattamento, e dai terzi incaricati ai sensi dell’art. 28, par. 3, lett. h) GDPR, il diritto di accedere ai locali di sua pertinenza ove hanno svolgimento le operazioni di trattamento o dove sono custoditi dati o documentazione relativa al presente contratto. In ogni caso il Titolare del trattamento si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Tale attività può essere svolta dal Titolare del trattamento nei confronti del Sub-responsabile del trattamento o delegata dal Titolare stesso al Responsabile del trattamento.

Nel caso in cui all’esito degli audit effettuati dal Titolare del trattamento o da terzi incaricati, le misure tecniche, organizzative e/o di sicurezza adottate dal Responsabile del trattamento e/o Sub-responsabile del trattamento risultino inadeguate o, comunque, vengano riscontrate evidenze di violazioni gravi (ad es. la mancata informazione e formazione da parte del Responsabile al trattamento dei dati nei confronti dei propri soggetti autorizzati, la rilevazione di violazione a livello applicativo del sistema fornito) commesse dal Responsabile del trattamento o Sub- responsabile del trattamento dei dati personali, Il Titolare del trattamento ha facoltà di applicare una penale nelle modalità e nei termini stabiliti del accordo. Il rifiuto del Responsabile del trattamento e Sub-responsabile di consentire l’audit al Titolare del Trattamento comporta la risoluzione del contratto.

Trasferimento e trattamento di dati personali fuori dall’Unione Europea

Il Titolare del trattamento non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea, salvo casi eccezionali legati alla tipologia contrattuale, per i quali la specifica autorizzazione da richiedere al Titolare del trattamento è sottoposta alla valutazione del DPO.

Conservazione o cancellazione dei dati e loro restituzione

Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile del trattamento o del rapporto sottostante, il Responsabile del trattamento a discrezione del Titolare del trattamento sarà tenuto a:

• restituire al Titolare del trattamento i dati personali oggetti del trattamento

• provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).

In entrambi i casi il Responsabile del trattamento provvederà a rilasciare al Titolare del trattamento apposita dichiarazione per iscritto contenente l’attestazione che presso il Responsabile del trattamento non esista alcuna copia dei dati personali di titolarità del Titolare del trattamento. Il Titolare del trattamento si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione.

Ulteriori eventuali obblighi, se applicabili in base alla tipologia contrattuale in essere

Il Responsabile del trattamento:

• provvede al rilascio dell’informativa di cui all’art. 13 del GDPR, qualora il trattamento dei dati oggetto dell'accordo comporti la raccolta di dati personali per conto del Titolare del trattamento da parte del Responsabile del trattamento;

• collabora con il Titolare del trattamento per fornire tempestivamente tutte le informazioni necessarie e/o i documenti utili al fine di soddisfare l’obbligo in capo a quest’ultimo di dare seguito alle richieste degli interessati di cui al Capo III del GDPR (ad es.: esercizio dei diritti di accesso, rettifica, limitazione, opposizione al trattamento dei dati);

• collabora con il Data Protection Officer (DPO) del Titolare del trattamento, provvedendo a fornire ogni informazione dal medesimo richiesta;

• provvede ad informare immediatamente il Titolare del trattamento di ogni richiesta, ordine ovvero attività di controllo da parte dell’Autorità Garante per la protezione dei dati personali o dell’Autorità Giudiziaria;

• coadiuva, se richiesto dal Titolare del trattamento lo stesso nella difesa in caso di procedimenti dinanzi dalla suddette Autorità che riguardino il trattamento dei dati oggetto del contratto. A tal fine il Responsabile del trattamento fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza al Titolare del trattamento per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.

Responsabilità e manleve

Il Responsabile del trattamento tiene indenne e manleva il Titolare del trattamento da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente accordo.

A fronte della ricezione di un reclamo relativo alle attività oggetto del presente accordo, il Responsabile del trattamento:

- avverte, prontamente ed in forma scritta, il Titolare del trattamento del reclamo ricevuto;

- non fornisce dettagli al reclamante senza la preventiva interazione con il Titolare del trattamento;

- non transige la controversia senza il previo consenso scritto del Titolare del trattamento;

- fornisce al Titolare del trattamento tutta l’assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.

A fronte della ricezione di un reclamo relativo alle attività oggetto del presente accordo, il Responsabile del

trattamento contatterà tempestivamente il Titolare del trattamento attendendo specifiche istruzioni sulle azioni da intraprendere.

Document Metadata

Table of Contents

Schema tipo

Document Metadata