Delibera del Direttore Generale n. 640 del 14-11-2019
AZIENDA OSPEDALIERO UNIVERSITARIA XXXXX
Delibera del Direttore Generale n. 640 del 14-11-2019
Proposta n. 1212 del 2019
Oggetto: APPROVAZIONE SCHEMA DI EMENDAMENTO AL CONTRATTO APPROVATO CON DELIBERAZIONE
N. 243 DEL 16.05.2018 E STIPULATO CON IL SAN XXXXXXXX TELETHON INSTITUTE FOR GENE THERAPY PER LA CONDUZIONE DI SPECIFICHE ANALISI DI LABORATORIO NELL’AMBITO DI UN PROGETTO DI RICERCA SU MPS XXXXXX.
Dirigente: XXXXXXX XXXXX XXXXXXXX
Struttura Dirigente: AFFARI GENERALI E SVILUPPO
Delibera del Direttore Generale n. 640 firmata digitalmente il 14-11-2019
AZIENDA OSPEDALIERO-UNIVERSITARIA XXXXX
(Art. 33 L.R.T. 24 febbraio 2005 n. 40)
Xxxxx Xxxxxxxxxx, 00 - 00000 XXXXXXX
C.F. P.Iva 02175680483
DELIBERAZIONE DEL DIRETTORE GENERALE
Oggetto | Convenzione con soggetti privati |
Contenuto | APPROVAZIONE SCHEMA DI EMENDAMENTO AL CONTRATTO APPROVATO CON DELIBERAZIONE N. 243 DEL 16.05.2018 E STIPULATO CON IL SAN XXXXXXXX TELETHON INSTITUTE FOR GENE THERAPY PER LA CONDUZIONE DI SPECIFICHE ANALISI DI LABORATORIO NELL’AMBITO DI UN PROGETTO DI RICERCA SU MPS XXXXXX. |
Area Tecnico Xxx.xx | AREA TECNICA AMMINISTRATIVA |
Coord. Area Tecnico Xxx.xx | XXXX XXXXX |
Struttura | AFFARI GENERALI E SVILUPPO |
Direttore della Struttura | XXXXXXX XXXXX XXXXXXXX |
Responsabile del procedimento | XXXXXXX XXXXX XXXXXXXX |
Immediatamente Esecutiva | NO |
Conti Economici | |||
Spesa | Descrizione Conto | Codice Conto | Anno Bilancio |
Spesa prevista | Conto Economico | Codice Conto | Anno Bilancio |
Estremi relativi ai principali documenti contenuti nel fascicolo | ||
Allegato | N° di pag. | Oggetto |
1 | 30 | Emendamento al Contratto di servizio |
IL DIRETTORE GENERALE
Dr. Xxxxxxx Xxxxxxxx (D.P.G.R.T. n. 156 del 31 agosto 2015)
Visto il D. Lgs.vo 30/12/1992 n. 502 e sue successive modifiche ed integrazioni e la L. R. Toscana n. 40 del 24/02/2005 e s.m.i. di disciplina del Servizio Sanitario Regionale;
Dato atto:
- che con deliberazione del Direttore Generale n. 133 del 29.12.2015 è stato approvato il nuovo Atto Aziendale dell’A.O.U. Xxxxx, ai sensi dell’art. 6 del Protocollo d’intesa del 22.04.2002 fra Regione Toscana e Università degli Studi di Firenze, Siena e Pisa, con decorrenza dal 1.1.2016;
- che con deliberazione del Direttore Generale n. 134 del 30.12.2015 si è provveduto a definire l’organigramma complessivo dell’A.O.U. Xxxxx e sono stati assunti i primi provvedimenti attuativi relativi al conferimento degli incarichi di direzione delle strutture Dipartimentali e/o a valenza dipartimentale, delle Aree Funzionali Omogenee, dell’Area Servizi dell’Ospedale, dell’Area delle Professioni Sanitarie e dell’Area Tecnico Amministrativa;
- che con deliberazione del Direttore Generale n. 140 del 30.12.2015 sono state assunte determinazioni attuative del nuovo Atto aziendale in merito alla conferma/riassetto delle strutture organizzative complesse e semplici;
- che con deliberazione del Direttore Generale n. 492 del 2.12.2016 si è provveduto ad approvare la sistematizzazione della organizzazione aziendale, dopo un primo percorso attuativo dello Statuto Aziendale;
- che con deliberazione del Direttore Generale n. 543 del 29.12.2016 sono state assunte determinazioni volte al conferimento degli incarichi delle Strutture Complesse dell’Area Tecnico Amministrativa, così come rimodulate a seguito delle azioni di attualizzazione dell’organizzazione aziendale;
- che con successiva deliberazione del Direttore Generale n. 173 del 05.04.2018 si è altresì provveduto ad ulteriori azioni di sistematizzazione dell’organizzazione aziendale ed all’integrazione dell’art. 63 dell’Atto Aziendale “Promozione della salute nella comunità”;
Su proposta del Responsabile della S.O.C. Affari Generali Dr.ssa Xxxxx Xxxxxxxx Xxxxxxx, la quale, con riferimento alla presente procedura, ne attesta la regolarità amministrativa e la legittimità dell’atto;
Premesso:
- che l’A.O.U. Xxxxx è un Ospedale del Servizio Sanitario della Toscana ad alta intensità di cura, svolgendo in modo unitario ed inscindibile funzioni d’assistenza, formazione, didattica e ricerca, persegue lo sviluppo di attività ad alto contenuto di specializzazione in ambito pediatrico;
- che l’A.O.U. Xxxxx è Ospedale di riferimento non solo cittadino e regionale, ma anche nazionale per la Pediatria, con una reputazione di centro d’eccellenza riconosciuto anche all’estero;
- che OSR è un IRCCS di diritto privato che persegue, nell’ambito delle proprie attività istituzionali, la promozione della ricerca biomedica e clinico-assistenziale;
- che Telethon è un ente senza scopo di lucro riconosciuto dal Ministero dell'Università e della Ricerca Scientifica e Tecnologica, nato nel 1990 per sostenere la ricerca scientifica nel campo delle malattie genetiche;
- che il San Xxxxxxxx Xxxxxxxx Institute for Gene Therapy (SR-TIGET) è un Istituto privo di personalità giuridica, condotto congiuntamente da OSR e Fondazione Telethon, con l’obiettivo di rappresentare un centro di eccellenza in tutti gli stadi della ricerca di base e clinica con particolare rilievo per la cura di malattie genetiche;
- che in data 03.08.2018 è stato sottoscritto un contratto con il San Xxxxxxxx Telethon Institute for Gene Therapy (SR-TIGET), il cui schema è stato approvato con deliberazione del Direttore Generale n. 243 del 16.05.2018, per attività di ricerca clinica su MPS Xxxxxx finalizzata alla
conduzione di specifiche analisi di laboratorio in pazienti affetti da mucopolissaccaridosi di tipo I Xxxxxx;
- che per l’attività di ricerca di cui al suddetto contratto il San Xxxxxxxx Xxxxxxxx Institute for Gene Therapy (SR-TIGET) corrisponde al Meyer un importo omnicomprensivo di euro 50,00 oltre iva a campione per l’analisi compiuta sui campioni biologici trasmessi;
Considerato che il San Xxxxxxxx Telethon Institute for Gene Therapy (SR-TIGET) ha richiesto di integrare il suddetto contratto garantendo la partecipazione ai costi di set-up dello studio e per il personale dedicato allo studio mediante il riconoscimento una tantum di un ulteriore importo omnicomprensivo di euro 32.000,00 oltre iva;
Rilevato che l’AOU Xxxxx, in accordo con il proprio Responsabile Scientifico Prof. Xxxxxxxxx Xx Xxxxx, ha fornito la propria disponibilità all’integrazione di cui sopra al fine di meglio condurre l’analisi sui campioni coinvolti nella sperimentazione clinica;
Visto lo schema di “Emendamento” al contratto diretto alla regolamentazione delle modalità tecniche ed operative inerenti l’attività di ricerca finalizzata alla conduzione di specifiche analisi di laboratorio in pazienti affetti da mucopolissaccaridosi di tipo I Xxxxxx, allegato N. 1 al presente provvedimento a formarne parte integrante e sostanziale e ritenuto di approvarlo;
Considerato che il Responsabile del Procedimento, individuato ai sensi della Legge n. 241/1990 nella persona della Dr.ssa Xxxxx Xxxxxxxx Xxxxxxx sottoscrivendo l’atto attesta che lo stesso, a seguito dell’istruttoria effettuata, nella forma e nella sostanza è legittimo;
Acquisito il parere del Coordinatore dell’Area Tecnico Amministrativa, Dr.ssa Xxxxx Xxxx, espresso mediante sottoscrizione del presente atto;
Con la sottoscrizione del Direttore Sanitario e del Direttore Amministrativo, per quanto di competenza, ai sensi dell’art. 3 del Decreto Legislativo n. 229/99;
DELIBERA
Per quanto esposto in narrativa che espressamente si richiama,
1) Di approvare lo schema di “Emendamento” al contratto stipulato in data 03.08.2018 con il San Xxxxxxxx Telethon Institute for Gene Therapy (SR-TIGET), il cui schema è stato approvato con deliberazione del Direttore Generale n. 243 del 16.05.2018, diretto alla regolamentazione delle modalità tecniche ed operative inerenti l’attività di ricerca clinica su MPS Xxxxxx finalizzata alla conduzione di specifiche analisi di laboratorio in pazienti affetti da mucopolissaccaridosi di tipo I Xxxxxx, allegato N. 1 al presente atto quale parte integrante e sostanziale.
2) Di dare atto che le somme introitate da questa Azienda per lo svolgimento dell’attività di cui trattasi verranno acquisite al conto di ricavo 4102201010 del Bilancio 2019 e saranno imputate al cento di costo n. 5131 “Screening Malattie Metaboliche”.
3) Di trasmettere il presente atto al Collegio Sindacale ai sensi dell’art. 42, comma 2, L. R.T. n. 40/2005 contemporaneamente all’inoltro all’albo di pubblicità degli atti di questa A.O.U. Xxxxx.
IL DIRETTORE GENERALE | |
(Dr. Xxxxxxx Xxxxxxxx) | |
IL DIRETTORE SANITARIO | IL DIRETTORE AMMINISTRATIVO |
(Dr.ssa Xxxxxxxxx Xxxxxxx) | (Dr. Xxxx Xxxxx) |
ALLEGATO N. 1
EMENDAMENTO 1 AL CONTRATTO DI SERVIZIO
tra
Azienda Ospedaliero Universitaria Xxxxx, con sede legale in Firenze (50139), xxxxx Xxxxxxxxxx 00, codice fiscale e partita IVA 02175680483, indirizzo di posta elettronica certificata xxxxx@xxxxxxxxx.xxxxxxx.xx, in persona del Direttore Generale, Xxxx. Xxxxxxx Xxxxxxxx, domiciliato per la carica presso la sede dell’Azienda (di seguito “Meyer”)
e
Ospedale San Xxxxxxxx s.r.l. (di seguito denominata per brevità “OSR”), C.F. 07636600962, con sede in Xxxxxx, Xxx Xxxxxxxxx 00, nella persona del suo Amministratore Delegato Xxx. Xxxxx Xxxxxxxxxx e Fondazione Telethon (di seguito denominata per brevità “Telethon”), con sede in Xxxx, Xxx Xxxxxx 00, C.F. 04879781005 in persona del suo Direttore Generale Xxxx.ssa Xxxxxxxxx Xxxxxxxxx, che congiuntamente conducono l’Istituto di ricerca sulla terapia genica, privo di personalità giuridica, denominato San Xxxxxxxx Xxxxxxxx Institute for Gene Therapy, diretto dal Xxxx. Xxxxx Xxxxxxx, (d’ora innanzi congiuntamente denominati “SR- TIGET”)
di seguito anche congiuntamente denominate come le “Parti” o singolarmente come la “Parte”.
Premesso che:
- OSR è un IRCCS di diritto privato che persegue, nell’ambito delle proprie attività istituzionali, la promozione della ricerca biomedica e clinico- assistenziale;
- Telethon è un ente senza scopo di lucro riconosciuto dal Ministero dell'Università e della Ricerca Scientifica e Tecnologica, nato nel 1990 per sostenere la ricerca scientifica nel campo delle malattie genetiche;
- il San Xxxxxxxx Telethon Institute for Gene Therapy (SR-TIGET) è un Istituto privo di personalità giuridica, diretto dal Xxxx. Xxxxx Xxxxxxx, condotto congiuntamente da OSR e Fondazione Telethon con l’obiettivo di rappresentare un centro di eccellenza in tutti gli stadi della ricerca di base e clinica con particolare rilievo per la cura di malattie genetiche;
- Meyer, ai sensi dell’art. 3 dello Statuto Aziendale, approvato con delibera del Direttore Generale n. 133 del 29 dicembre 2015, persegue tra le finalità istituzionali la cura ed il benessere dei bambini, finalità integrate con la didattica e la ricerca scientifica, svolgendo anche studi e ricerche correlate;
- OSR, con contratto sottoscritto in data 10 Gennaio 2017, ha commissionato a Meyer, in vista di un futuro studio clinico, lo sviluppo e la validazione di uno
o più metodi finalizzati alla conduzione di specifiche analisi di laboratorio (lo “Studio”);
- Meyer ha sviluppato e validato i metodi per la conduzione dello Studio, i quali sono stati dettagliati nei report consegnati a OSR, il quale ha diritto di utilizzarli congiuntamente a Telethon in forza dell’art. 7 del contratto sottoscritto in data 10 gennaio 2017;
- SR-TIGET, con contratto sottoscritto in data 03 agosto 2018 (il “Contratto”), ha affidato a Meyer, azienda dotata delle conoscenze ed esperienze necessarie a tale scopo, la conduzione delle analisi relative al progetto di ricerca clinica su MPSI Xxxxxx, comprendente il protocollo clinico codice TigetT10 MPSIH, dal titolo “Studio clinico di fase I/II per valutare la sicurezza ed efficacia del trapianto di cellule staminali ematopoietiche autologhe geneticamente modificate con un vettore lentivirale IDUA codificante per il gene della α- L-iduronidasi umana per il trattamento di pazienti affetti da Mucopolisaccaridosi di tipo I Xxxxxx” e il conseguente studio di Long Term Follow Up attraverso la metodica sviluppata
- SR-TIGET intende con il presente emendamento 1 (“Emendamento 1”), efficace dalla data di ultima sottoscrizione, emendare il Contratto sottoscritto in data 03 agosto 2018 così da affidare a Meyer la conduzione di ulteriori analisi relative al progetto di ricerca clinica su MPSI Xxxxxx e a ulteriori campioni raccolti per scopi di ricerca, come descritto nelle “Attività” dettagliate nell’Allegato A al presente Emendamento 1, che sostituisce nella sua interezza l’Allegato A al Contratto.
TUTTO CIÒ PREMESSO,
in considerazione delle premesse e dei patti reciproci qui contenuti e riconosciuti adeguati da tutti i contraenti, le parti accettano le seguenti modifiche al Contratto sottolineate ed evidenziate in grassetto corsivo
Articolo 1. Premesse e allegati
1.1. Le premesse e gli allegati costituiscono parte integrante e sostanziale del presente contratto (di seguito il “Contratto”).
Articolo 2. Oggetto del contratto
2.1. Con il presente Contratto le Parti intendono regolamentare le condizioni ed i termini per lo svolgimento delle Attività, specificando i reciproci diritti ed obblighi.
Articolo 3. Responsabili scientifici
3.1 Le Parti nominano rispettivamente, quali responsabili scientifici per l’esecuzione delle Attività e per la gestione del Contratto, il Prof. Xxxxxxxxxx Xxxxx per SR-TIGET (di seguito il “Responsabile Scientifico TIGET”), il Prof. Xxxx Xxxxx Xx Xxxxx per Meyer (di seguito il “Responsabile Scientifico Meyer”).
3.2 La sostituzione del Responsabile Scientifico Meyer non previamente autorizzata per iscritto da SR-TIGET, costituirà causa di risoluzione espressa, ex art. 1456 c.c.
3.3 La sostituzione del Responsabile Scientifico TIGET sarà comunicata all’Azienda per iscritto, anche a mezzo posta elettronica, senza ulteriori formalità.
Articolo 4. Corrispettivo e Modalità di pagamento
4.1 SR-TIGET, tramite OSR, si impegna a corrispondere a Meyer per l’esecuzione delle Attività la somma complessiva di 50,00 (cinquanta/00) euro oltre IVA a campione per l’analisi di tutti i campioni dei pazienti inclusi nello studio, compresi quelli raccolti durante la fase di long-term Follow Up e quelli per ricerca, e un corrispettivo di 32.000,00 (trentaduemila/00) euro oltre IVA una tantum per i costi di set-up dello studio e per il personale dedicato allo studio (di seguito il “Corrispettivo”).
4.2 Il Corrispettivo una tantum relativo ai costi di set-up sarà interamente versato da OSR alla firma del presente contratto mentre il corrispettivo per le analisi svolte sarà versato da OSR a cadenza semestrale decorrente dalla data di ultima sottoscrizione ed entro 90 giorni dalla fattura emessa da Meyer accompagnata dal report delle analisi effettuate, previamente approvato da parte del Responsabile Scientifico OSR, mediante bonifico bancario sul seguente conto corrente intestato all’Azienda Ospedaliero Universitaria Xxxxx presso Intesa Sanpaolo S.p.a.:
IBAN XX00 X000 0000 0000 0000 0000 000 (Codice BIC: XXXXXXXX)
4.3 Ai fini del pagamento le fatture dovranno: (i) indicare il riferimento al Contratto e al titolo dello Studio, (ii) essere intestate a Ospedale San Xxxxxxxx S.r.l, xxx Xxxxxxxxx 00, Xxxxxx, C.F. e P.IVA n. 07636600962 ed (iii) essere inviate all’indirizzo di posta certificata xxxxxxxxxxxxxxxx.xxx@xxx.xxxxxxxxx.xx.
4.4 Resta inteso che il Corrispettivo di cui al presente articolo è da intendersi comprensivo di tutti i costi diretti e indiretti in qualunque forma sostenuti da Meyer per l’esecuzione del Contratto.
Articolo 5. Durata e efficacia del contratto
5.1 Le Parti convengono che il Contratto decorrerà dalla data di ultima sottoscrizione e, salvo il caso di risoluzione anticipata, rimarrà efficace fino al 1.06.2028.
5.2 Resta inteso che l’efficacia del Contratto è subordinata al previo ottenimento di tutte le autorizzazioni necessarie a svolgere le Attività.
5.3 L’eventuale proroga del Contratto dovrà essere concordata per iscritto fra le Parti.
Articolo 6. Svolgimento delle Attività
6.1 Meyer e il Responsabile Scientifico Meyer, per quanto di sua competenza, in relazione all’esecuzione delle Attività, si impegnano:
a) a non iniziare le Attività fino a che le eventuali autorizzazioni necessarie allo svolgimento delle stesse, ai sensi delle normative applicabili, non siano state ottenute;
b) a utilizzare e trattare i campioni biologici forniti (di seguito i “Campioni”) con prudenza e dovuta cautela, in modo sicuro e in conformità alle relative leggi e regolamenti in vigore;
c) a utilizzare i Campioni esclusivamente per le Attività, non a scopo commerciale o per altri scopi e a non trasferirli a terzi senza la preventiva autorizzazione di SR-TIGET;
d) a comunicare a SR-TIGET l’esistenza di eventuali eccedenze dei Campioni al termine delle Attività. Verrà concordato con SR-TIGET se procedere alla distruzione immediata delle eccedenze o all’invio dei Campioni eccedenti a SR-TIGET, il tutto a spese di SR-TIGET.
e) a svolgere le Attività secondo le modalità meglio descritte nell’Allegato A, con la diligenza professionale richiesta dalla natura delle stesse, nel rispetto delle normative applicabili, ivi comprese la Good Laboratory Practice (GLP), Good Clinical Laboratory Practice (GLCP), seguendo le istruzioni e le direttive eventualmente impartite dal Responsabile Scientifico SR-TIGET;
f) a trasmettere i risultati delle Attività in forma di report al Responsabile Scientifico TIGET secondo le modalità e le tempistiche dettagliate nell’Allegato A.
6.2 SR-TIGET:
a) si impegna, a proprie spese, a organizzare la raccolta e la consegna dei Campioni, nel rispetto delle normative applicabili, al seguente indirizzo Azienda Ospedaliero Universitaria Xxxxx – Laboratorio Screening Neonatale, Biochimica e Farmacologia – Xxxxx Xxxxxxxxxx, 00 – 50139 – Firenze.
b) si impegna a comunicare al Meyer eventuali modifiche dello Studio, ivi incluse eventuali comunicazioni delle competenti autorità regolatorie.
Articolo 7. Riservatezza
7.1 Ciascuna Parte si impegna, per sé e per i propri dipendenti e collaboratori ex articolo 1381 cod. civ., anche di società collegate, ex art. 2359 c.c., a non usare per fini diversi da quelli di cui al presente Contratto, e a mantenere strettamente confidenziali non divulgando e/o rivelando in alcun modo a terzi, direttamente o indirettamente, in tutto o in parte, le informazioni confidenziali di natura tecnica, finanziaria, commerciale, i dati, e i risultati (proteggibili o meno come diritti di proprietà industriale e intellettuale, incluso il know-how) dell’altra Parte e i documenti che le incorporano, indipendentemente dal fatto che le stesse siano indicate come confidenziali e indipendentemente dalle modalità e dal supporto attraverso il quale le stesse vengono comunicate (di seguito definite, complessivamente, le “Informazioni Confidenziali”).
7.2 Tale obbligo di confidenzialità non si applica alle Informazioni Confidenziali:
a) che fossero di dominio pubblico al momento della loro divulgazione o che in seguito siano diventate di dominio pubblico, purché non in conseguenza di una violazione del Contratto; o
b) che fossero conosciute da ciascuna Parte al momento della loro divulgazione, e la conoscenza risulti da prova documentale;
c) che siano state rivelate a terzi con l'approvazione scritta della Parte che ne è titolare;
d) la cui comunicazione e/o divulgazione sia stata imposta da norme di legge, da regolamenti o da provvedimenti delle Autorità competenti. In tal caso, sarà obbligo della Parte ricevente informare tempestivamente e preventivamente la Parte titolare delle Informazioni Confidenziali al fine di concordare i tempi, le forme e i contenuti della richiesta comunicazione e/o divulgazione.
7.3 Gli obblighi di riservatezza relativi alle Informazioni Confidenziali ricevute resteranno validi ed efficaci anche successivamente alla cessazione (a qualsiasi titolo) del presente Contratto. Resta inteso che l’Azienda non potrà in alcun modo utilizzare le Informazioni Confidenziali di SR-TIGET senza la preventiva autorizzazione scritta da parte di SR-TIGET.
Articolo 8. Risultati e pubblicazioni
8.1 Le Parti convengono che tutti i risultati (a titolo esemplificativo, dati, Report, immagini e correlati eventuali diritti di proprietà intellettuale e industriale derivanti dall’esecuzione delle Attività (i “Risultati”) saranno di titolarità esclusiva di SR-TIGET.
8.2 Le Parti si danno reciprocamente atto sin da ora che nel corso delle Attività verranno, e/o potrebbero essere, utilizzati in varia misura know-how e/o beni coperti da diritti di proprietà industriale e/o intellettuale (di seguito il “Background”) in titolarità di ciascuna di esse su cui l’altra Parte non acquisirà alcun autonomo diritto di utilizzazione a qualunque titolo.
Resta inteso che i) modifiche, integrazioni, ampliamenti, sviluppi del Background di SR-TIGET saranno di proprietà esclusiva di SR-TIGET; ii) modifiche, integrazioni, ampliamenti, sviluppi del Background di Meyer, inclusa la metodica sviluppata da Meyer tramite il Prof. La Marca e utilizzata per le Attività, saranno di proprietà esclusiva di Meyer.
Articolo 9. Recesso
9.1 SR-TIGET si riserva la facoltà di recedere in qualsiasi momento dal Contratto, mediante comunicazione scritta da inviare all’altra Parte a mezzo lettera raccomandata con avviso di ricevimento. Il recesso avrà efficacia decorsi 30 (trenta) giorni dalla data di invio della comunicazione.
Articolo 10. Risoluzione
10.1 Le Parti convengono che ove lo Studio venisse concluso anticipatamente per
qualsiasi motivo, ovvero definitivamente interrotto da SR-TIGET, il Contratto dovrà intendersi concluso alla data comunicata da OSR al proprio Comitato Etico quale data di conclusione e/o interruzione anticipata dello Studio. In tal caso, OSR provvederà a corrispondere a Meyer solo i costi sostenuti sino a tale data, documentati per iscritto.
Articolo 11. Trattamento dei dati personali
11.1 In conformità a quanto previsto dal D.Lgs. n. 196 del 30 giugno 2003 (di seguito anche solo “Codice Privacy”), e successive modifiche ed integrazioni, nonché – a partire dal 25 maggio 2018 – dal Regolamento 2016/679/UE (di seguito anche solo “Regolamento UE”), tutti i dati personali che verranno scambiati fra le Parti nel corso dello svolgimento del Contratto saranno trattati rispettivamente da ciascuna delle Parti per le sole finalità indicate nel Contratto ed in modo strumentale all’espletamento dello stesso, nonché per adempiere ad eventuali obblighi di legge, della normativa comunitaria e/o prescrizioni del Garante per la protezione dei dati personali e saranno trattati, con modalità manuali e/o automatizzate, secondo principi di liceità e correttezza ed in modo da tutelare la riservatezza e i diritti riconosciuti, nel rispetto di adeguate misure di sicurezza e di protezione dei dati anche sensibili o idonei a rivelare lo stato di salute, previsti dal Codice Privacy e dal Regolamento UE.
11.2. Meyer è inoltre consapevole che nell’esecuzione del Contratto verrà a conoscenza di dati personali di terzi per conto dell’altra Parte e, sin da ora, si impegna a gestire e custodire i suddetti dati adottando le misure di sicurezza richieste dalla normativa. A tal fine Meyer viene designato quale Responsabile Esterno del Trattamento (di seguito “RdT”) a norma dell’art. 28 del Regolamento UE, con apposito atto allegato al presente Emendamento 1, che sostituisce integralmente quello allegato al Contratto (di seguito “Allegato B”).
11.3 Resta inteso che Meyer dovrà manlevare e tenere indenne SR-TIGET da qualunque richiesta di risarcimento per eventuali danni arrecati a terzi a seguito della violazione della normativa in materia di privacy addebitale al proprio personale.
11.4 Rdt assicura che i risultati della processazione dei Campioni saranno trattati e conservati per il tempo strettamente necessario, in forma criptata e protetti anche con misure di scurezza di natura biometrica idonee a prevenire la perdita, la distruzione e il furto degli stessi.
Articolo 12 - Adempimento normativa ex D.lgs. 231/2001
12.1 Le Parti si impegnano, direttamente e ai sensi dell’art. 1381 c.c. per i propri amministratori, dipendenti, consulenti e/o collaboratori a qualsiasi titolo impegnati nelle attività di cui al Contratto, al pieno rispetto del D.lgs. n. 231/2001 e sue eventuali modifiche ed integrazioni nonché, ciascuna per quanto di ragione, del Codice Etico e del Modello Organizzativo rispettivamente adottati e disponibili, quanto a OSR e Telethon, sul sito istituzionale rispettivamente agli
indirizzi xxxxx://xxx.xxx.xx/xxxxxxxxx/xxxxxxxx-xxx-xxxxxxxx/xxxxxxxxxxx e xxxx://xxx.xxxxxxxx.xx/xxx-xxxxx/xxxxxxxxxxxxxx/xxxxxx-xxxxxxx-xxxxx e quanto a Meyer sul sito istituzionale agli indirizzi xxxx://xxx.xxxxx.xx/xxxxx.xxx/xxxxxxxxxxxxxxx– trasparente/disposizioni– generali/220–atti–generali.
12.2 In caso di inadempimento da parte di una delle Parti e/o dei propri amministratori, dipendenti, consulenti e/o collaboratori a quanto previsto nel presente articolo, l’altra Parte potrà risolvere di diritto il Contratto ai sensi dell’art. 1456 c.c., salvo il diritto al risarcimento del danno ulteriore.
12.3 Resta ferma l’esclusiva responsabilità a tutti gli effetti civili e penali, della Parte e/o dei suoi amministratori, dipendenti, consulenti e/o collaboratori che abbia violato le disposizioni presenti in tali Decreto, Codici Etici e Modelli Organizzativi.
Articolo 13. Foro
13.1 Per ogni eventuale controversia relativa al presente Contratto (a titolo esemplificativo, alla sua interpretazione, e/o esecuzione e/o validità e/o efficacia) e quale che sia la responsabilità fatta valere (contrattuale, extracontrattuale o ex lege) sarà competente in via esclusiva il foro della parte convenuta in giudizio.
Articolo 14. Modificazioni
14.1 Ogni modificazione del presente Contratto ed ai suoi allegati dovrà essere effettuata esclusivamente per iscritto tra le Parti. La tolleranza di una delle Parti di fronte all’inadempimento dell’altra Parte ad una qualsiasi delle previsioni del presente Xxxxxxxxx non potrà costituire o essere interpretata come tolleranza a successive violazioni contrattuali commesse dalla Parte medesima.
Articolo 15. Comunicazioni
15.1. Per SR-TIGET: Ospedale San Xxxxxxxx, Ufficio Legale, xxx Xxxxxxxxx, 00, Xxxxxx, 20132 o all’indirizzo mail xxxxxxxx.xxxxxxxxx@xxx.xx,
14.2 Xxx Xxxxx: Xxxxx Xxxxxxxx Xxxxxxx – S.O.C. Affari Generali e Sviluppo – Tel. 0000000000 – Mail: xxxxxxxxxxxxx.xxxxxxx@xxxxx.xx – Xxxxx Xxxxxxxxxx, 00 – 50139 – Firenze.
Articolo 16. Negoziazione
16.1 Le Parti dichiarano che il presente Xxxxxxxxx è stato liberamente negoziato e che quindi non necessita di approvazione specifica ex 1341 cc.
16.2 Le Parti dichiarano che quanto previsto dal presente Contratto corrisponde a ciò che è stato pattuito nelle trattative preliminarmente intercorse, essendo privo di validità ogni altro accordo non recepito dal presente Contratto. Pertanto, tutta la corrispondenza precedente la conclusione del presente contratto si intende superata.
16.3 Il Contratto sarà registrato solo in caso d’uso e tutte le spese di registrazione saranno ad esclusivo carico della Parte richiedente. Le spese di bollo sono a carico delle parti in misura uguale.
16.4 Salvo quanto espressamente evidenziato nel presente Emendamento 1 tutte le altre clausole del Contratto rimarranno invariate e saranno pienamente applicabili all’Emendamento 1 stesso.
Elenco allegati:
Allegato A: Descrizione Attività
Allegato B: Nomina Responsabile Esterno Trattamento dei Dati Personali Letto, approvato e sottoscritto.
Ospedale San Xxxxxxxx | Azienda Ospedaliera Xxxxx | |
(Xxx. Xxxxx Xxxxxxxxxx) | (Xxxx. Xxxxxxx Xxxxxxxx) | |
Amministratore Delegato | Direttore Generale | |
Data: | Data: |
Fondazione Telethon |
Dott.ssa Xxxxxxxxx Xxxxxxxxx Direttore Generale Data: |
Per accettazione Responsabile Scientifico TIGET | Per accettazione Responsabile Scientifico Meyer |
(Prof. Xxxxxxxxxx Xxxxx) | (Prof. Xxxx Xxxxx Xx Xxxxx) |
Data: | Data: |
Allegato A
Descrizione delle attività
Il ruolo del gruppo del Prof. Xxxxxxxxx Xx Xxxxx, Laboratorio Screening neonatale, Biochimica e Farmacologia - Sezione di Biochimica e Farmacologia in spettrometria di massa (LC-MS/MS), Azienda Ospedaliero Universitaria XXXXX, Firenze (di seguito “A.O.U XXXXX”) consisterà in una attività di servizio per l’esecuzione dei seguenti test (vedere Tabella 1) su campioni provenienti da pazienti affetti da MPSIH, inclusi negli studi clinici condotti presso Ospedale San Xxxxxxxx (di seguito “OSR”) e/o su campioni di pazienti affetti da MPSIH raccolti per scopi di ricerca presso OSR o su campioni di pazienti che eseguono il trapianto allogenico presso altri centri, come per esempio Manchester University NHS Foundation Trust (Manchester, UK), Universitair Medisch Centrum Utrecht (Utrecht, NL) e Ospedale di Monza, Italy.
Progetto | Tipo di campione | Analisi | # campioni atteso | Quantità |
Studio clinico TigetT10_MPSIH | Urine | GAGs | 72 | 1-10 ml |
DBS | IDUA | 72 | Carta bibula | |
DPS | IDUA | 72 | Carta bibula | |
CSF | IDUA | 40 | 3 gocce | |
CSF | GAGs | 40 | 3 gocce | |
Campioni di drug substance (DS) | IDUA | 8 | pellet | |
Tiget 09 (Campioni MPS1 raccolti a scopo di ricerca) | Bone biopsy | IDUA, | vario | pochi mm |
GAGs | vario | pochi mm | ||
Campioni MPSI provenienti da centri esterni (es. Utrecht/Manchester/Monza) | DBS | IDUA | vario | Carta bibula |
CSF | IDUA | vario | 3 gocce | |
CSF | GAGs | vario | 3 gocce | |
Urine | GAGs | vario | 1-10 ml |
Tabella 1. Elenco dei test/campioni da analizzare
A.O.U MEYER metterà a disposizione di OSR la descrizione delle procedure e dei metodi utilizzati per tutte le analisi elencate qui sotto, un report di validazione per ciascuna metodica sviluppata presso il Laboratorio, e fornirà copie di autorizzazioni, accreditamenti e certificazioni di qualità, inclusa l’autocertificazione secondo Determina n. 809/2015.
Tutte le analisi saranno condotte secondo la Buona Pratica Clinica di Laboratorio. A.O.U MEYER manterrà e registrerà con precisione qualsiasi documentazione relativa ai campioni biologici per monitorarne correttamente l'utilizzo e la gestione da parte di A.O.U XXXXX, inclusa la ricezione, l'uso, l'analisi, lo stoccaggio e la distruzione dei campioni biologici.
A.O.U MEYER eseguirà le seguenti analisi:
1. Analisi GAG su urine, CSF e osso
La determinazione dei GAG nelle urine avverrà mediante cromatografia liquida accoppiata alla spettrometria di massa (LC-MS/MS), confrontando i campioni di urine dei pazienti con campioni di eparansolfato (HS) e dermatansolfato (DS) a concentrazioni note, secondo la procedura sviluppata e validata dal Prof. La Marca presso A.O.U. XXXXX.
Le concentrazioni di uGAG saranno normalizzate con le concentrazioni urinarie della creatinina; un’aliquota dello stesso campione di urina inviato a X.X.X XXXXX xxxx analizzato separatamente dal
Servizio di Medicina di Laboratorio di OSR per la determinazione della creatinina urinaria e il risultato sarà fornito a A.O.U MEYER.
La determinazione dei GAG nei campioni di CSF sarà di tipo semiquantitativo non essendo possibile validare il metodo per mancanza di materiale di controllo.
La determinazione dei GAG nei campioni di osso sarà di tipo esplorativo non essendoci un metodo validato.
2. Attività IDUA su DBS, DPS, CSF, osso e campioni di DS
La determinazione di IDUA su Dry Blood Spot (DBS) e Dry Plasma Spot (DPS) verrà eseguita mediante cromatografia liquida accoppiata alla spettrometria di massa (LC-MS/MS) come descritto nel paper “Screening of lysosomal storage disorders: application of the online trapping-and-cleanup liquid chromatography/mass spectrometry method for mucopolysaccharidosis I” (EJMS, 2013) secondo il metodo sviluppato e validato dal Prof. La Marca presso A.O.U XXXXX.
La determinazione IDUA nei campioni di CSF sarà di tipo semiquantitativo non essendo possibile validare il metodo per mancanza di materiale di controllo.
La determinazione IDUA nei campioni di osso avverrà sarà di tipo esplorativo non essendoci un metodo validato.
Modalità di raccolta, spedizione e conservazione dei campioni
I campioni di urine (1-10ml) saranno raccolti in OSR, congelati a -80°C e spediti a A.O.U XXXXX in ghiaccio secco.
I campioni di CSF (due aliquote, 3 gocce x GAG e 3 gocce x IDUA) saranno raccolti in OSR, congelati a -80°C e spediti a A.O.U XXXXX in ghiaccio secco.
I campioni di DBS e DPS (minimo due gocce di sangue su carta bibula) saranno raccolti e preparati in OSR e spediti a A.O.U XXXXX a temperatura ambiente.
I campioni di osso (un frammento di pochi mm) saranno raccolti in OSR e spediti a A.O.U MEYER. I campioni di drug substance (pellet cellulare) saranno raccolti in OSR e spediti a A.O.U. XXXXX.
Tutti i campioni saranno spediti da OSR insieme al “Modulo di Trasporto: prelevamento e consegna di campioni” (Module TCTO 044). Nel caso in cui il campione ricevuto da A.O.U. Xxxxx non venisse considerato adeguato per l’esecuzione dell’analisi, A.O.U. lo comunicherà a OSR, che si impegnerà a raccogliere un nuovo campione da inviare il prima possibile a sostituzione del precedente.
Ogni campione raccolto in OSR per uno studio o per scopi di ricerca verrà etichettato in OSR con al minimo le seguenti informazioni:
- Codice studio;
- Codice paziente;
- Tipo di campione;
- Timepoint;
- Data di raccolta.
Il numero di campioni raccolti per lo studio TigetT10_MPSIH è indicato in Tabella 1. Il numero di campioni che saranno raccolti per scopi di ricerca non è quantificabile.
Ogni campione proveniente da un centro esterno sarà etichettato con al minimo le seguenti informazioni
- Codice centro;
- Codice paziente;
- Tipo di campione;
- Timepoint;
- Data di raccolta.
Il numero di campioni provenienti da pazienti trapiantati non è quantificabile. Questi campioni potrebbero essere spediti al Meyer direttamente dal centro di provenienza o da OSR (se prima inviati ad OSR).
I campioni essiccati su carta bibula saranno conservati per un periodo minimo di 8 anni per l’assolvimento di eventuali azioni di controllo e verifica delle analisi. A conclusione di questo periodo
A.O.U MEYER contatterà OSR per decidere della eventuale distruzione dei campioni. Nel caso di distruzione del campione, questa sarà a carico di A.O.U. XXXXX che fornirà opportuno certificato di distruzione a OSR.
Le eventuali rimanenze dei campioni saranno conservate per un periodo di 12 mesi a -80°C, al fine di garantire la conclusione dell’analisi e eventuali controlli. A conclusione di questo periodo A.O.U MEYER contatterà OSR per decidere della eventuale distruzione dei campioni. Nel caso di distruzione del campione, questa sarà a carico di A.O.U. XXXXX che fornirà opportuno certificato di distruzione a OSR.
Risultati:
I risultati di ogni analisi verranno inviati al Prof. Xxxxxxxxxx Xxxxx e alla Dr.ssa Xxxxx Xxxxx Xxxxxxxx ai seguenti indirizzi e-mail: xxxxxxxxxx.xxxxx@xxx.xx e xxxxxxxxxx.xxxxxxxx@xxx.xx (ulteriori indirizzi e-mail possono essere comunicati nel corso dello studio).
I risultati devono essere inviati in file pdf, protetti da una password. Tale password deve essere comunicata tramite un'e-mail separata o inviati tramite posta elettronica certificata, previa cifratura delle informazioni trasmesse da realizzarsi con firma digitale. In ogni corrispondenza, relazione o documentazione A.O.U MEYER individuerà ogni campione con il suo codice paziente, il tempo di raccolta e il tipo di analisi eseguita.
I campioni di ciascun paziente dello studio clinico devono essere analizzati secondo le seguenti tempistiche, salvo diversi accordi presi successivamente con A.O.U. XXXXX:
- Campioni raccolti allo screening: il campione viene analizzato non appena ricevuto, i risultati saranno comunicati a OSR in tempo reale, entro massimo 7 giorni dall’esecuzione dell’analisi.
- Campioni raccolti entro +90 giorni: i campioni verranno analizzati simultaneamente dopo la ricezione dell’ultimo campione, i risultati saranno comunicati a OSR entro massimo 7 giorni dall’esecuzione dell’analisi.
- Campioni raccolti entro +9 mesi: i campioni verranno analizzati simultaneamente dopo la ricezione dell’ultimo campione, i risultati saranno comunicati a OSR entro massimo 7 giorni dall’esecuzione dell’analisi
Campioni raccolti a +1 anno e annualmente fino a + 8 anni: i campioni verranno analizzati entro 30 giorni dalla ricezione del campione; i risultati saranno comunicati a OSR entro
massimo 20 giorni dall’esecuzione dell’analisi.
I campioni raccolti per scopi di ricerca e provenienti da pazienti trapiantati verranno analizzati contestualmente a quelli per lo studio clinico o secondo le possibilità del laboratorio
Ogni report conterrà almeno:
- Codice Studio o codice centro per i pazienti trapiantati)
- Codice del paziente
- Timepoint
- Data di raccolta del campione presso OSR e data di esecuzione dell’analisi presso A.O.U MEYER
- Risultato relativo al campione analizzato
▪ Nel caso dei GAG urinari verrà indicata la concentrazione di HS e DS, e il calcolo effettuato per la normalizzazione relativa alla concentrazione urinaria della creatinina
▪ Nel caso delle analisi di IDUA verranno riportati i risultati di ogni campione analizzato
- Descrizione del metodo utilizzato da A.O. U. XXXXX.
Per ogni tipologia di analisi ci saranno tre report di laboratorio, uno a completamento del primo anno di follow up del sesto paziente (#1), ed il secondo report al secondo anno di follow-up dell’ottavo paziente (#2). e un report finale a completamento dello studio, dopo l’esecuzione del follow-up di +8 anni dell’ultimo paziente arruolato negli studi clinici (#3).
Entro 30 giorni dalla ricezione del rispettivo ultimo campione in ogni scadenza della data di consegna del report, tutti i risultati generati da A.O.U. XXXXX in riferimento ad ogni analisi saranno raccolti in un report form completo (esemio: GAG Urine Final Report; IDUA DBS Final Report, IDUA plasma Final Report e IDUA CSF Final Report) rispettivamente # 1, # 2 e # 3
Ogni report includerà in forma tabulata come minimo:
- Codice Studio o Codice Centro:
- Per ciascun paziente:
▪ Codice del paziente
▪ Timepoint
▪ Data di raccolta del campione presso OSR e data di esecuzione dell’analisi presso
A.O.U MEYER
▪ Risultato relativo al campione analizzato
• Nel caso dei GAG urinari verrà indicata la concentrazione di HS e DS, e il calcolo effettuato per la normalizzazione relativa alla concentrazione urinaria della creatinina.
• Nel caso delle analisi di IDUA verranno riportati i risultati di ogni campione analizzato
- Descrizione del metodo utilizzato da A.O. U. XXXXX.
ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI
(ex art. 28 Regolamento UE 2016/679)
TRA
Fondazione Telethon, con sede legale in Xxx Xxxxxx 00/X, 00000 Xxxx, codice fiscale e partita IVA n. 04879781005, rappresentata da Xxxxxxxxx Xxxxxxxxx in qualità di Delegata Privacy, giusta delibera
C.d.A. del 7 febbraio 2013 (di seguito anche solo "Telethon" o "Titolare")
Ospedale San Xxxxxxx srl, con sede legale Xxx Xxxxxxxxx 00, 00000 Xxxxxx, codice fiscale e partita IVA
n. 07636600962, rappresentato dall’Amministratore Delegato, Xxx. Xxxxx Xxxxxxxxxx (di seguito anche solo “San Xxxxxxxx” o “Titolare”)
da una parte
E
Azienda Ospedaliera Universitaria Xxxxx, con sede legale in Xxxxx Xxxxxxxxxx 00, 00000 Xxxxxxx, codice fiscale e partita IVA 02175680483, rappresentata dal Direttore Generale Xxxx. Xxxxxxx Xxxxxxxx (di seguito “AOU Meyer”, “Responsabile del Trattamento” o anche solo “Responsabile”);
dall’altra
(di seguito, congiuntamente, anche le “Parti”)
PREMESSO CHE
a) tra Telethon e San Xxxxxxxx intercorre una pluriennale collaborazione per la conduzione congiunta, di un istituto sulla terapia genica denominato SR-Tiget (di seguito “Istituto”), privo di personalità giuridica, situato all’interno delle strutture messe a disposizione da San Xxxxxxxx da ultimo regolata in forza dell’accordo in essere dal 1 luglio 2017 al 30 giugno 2021 (di seguito “Convenzione”);
b) presso l’Istituto sono condotti programmi per lo svolgimento dell’attività di ricerca di base, traslazionale clinica relativa alla diagnosi, fisiopatologia e terapia delle malattie monogenica ereditarie, nonché lo sviluppo e la sperimentazione clinica di strategie e piattaforme tecnologiche per la terapia genica e cellulare;
c) San Xxxxxxxx, per effetto della Convenzione, si è impegnato a mettere a disposizione dell’Istituto i letti (adulti e o pediatrici), gli spazi dell’unità di ricerca clinica, nonché il personale infermieristico che saranno necessari allo svolgimento dell’attività clinica inerente i progetti di ricerca condotti presso l’Istituto;
d) Xxxxxxxx e San Xxxxxxxx, in ragione di quanto sopra conducono congiuntamente la ricerca presso l’Istituto essendosi intese sugli specifici ambiti di operatività di ciascuna di esse;
e) tra Xxxxxxxx e San Xxxxxxxx da un lato e l’AOU Xxxxx dall’altro lato è stato sottoscritto il Contratto di Servizio e successivo Emendamento 1 per affidare ad AOU Meyer la conduzione di analisi relative al progetto di ricerca clinica su MPSI Xxxxxx e a ulteriori campioni raccolti per scopi di ricerca, di cui il presente atto allegato costituisce parte integrale e sostanziale;
f) con la sottoscrizione del Contratto di Servizio e successivo Emendamento 1, l’AOU Xxxxx si è espressamente impegnata a svolgere le attività indicate al precedente punto con la massima diligenza, professionalità e con il più alto livello di competenza tecnica e professionale, nonché secondo la buona pratica clinica e scientifica e in ogni caso in conformità a quanto previsto da:
I. tutte le normative vigenti e pertinenti all’esecuzione dell’incarico conferito da Xxxxxxxx e San Xxxxxxxx;
II. ai requisiti di integrità e tracciabilità dei dati e dei campioni;
III. ai termini e alle condizioni dei contratti e degli eventuali allegati;
g) per l’esecuzione del Contratto di Servizio e successivo Emendamento 1 efficace dall’ultima data di sottoscrizione delle Parti, l’AOU Xxxxx dovrà trattare dati personali e sensibili (eventualmente anche di natura genetica) e/o campioni biologici per conto di Xxxxxxxx e San Xxxxxxxx;
h) per questo l’AOU Meyer ha dichiarato e garantito di possedere competenze e conoscenze tecniche in relazione alle finalità e modalità di trattamento, alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei dati personali e sensibili trattati, nonché in relazione alla legislazione italiana ed europea in materia di protezione dei dati personali, e di possedere i requisiti di affidabilità idonei a garantire il rispetto delle disposizioni normative in materia anche per ricoprire il ruolo di Responsabile del trattamento in base al Contratto;
i) le parti intendono ora disciplinare nel presente accordo (nel seguito "Accordo") le condizioni e modalità di trattamento dei dati personali derivanti dal Contratto di Servizio e successivo Emendamento 1, le relative responsabilità, in particolare l'impegno assunto dall’AOU Meyer quale Responsabile del trattamento dei dati personali e sensibili ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito "GDPR") anche in base alla Legislazione in materia di Protezione dei Dati Personali (come definita all’articolo 1.1);
Tutto quanto sopra premesso, tenuto conto delle reciproche promesse e degli accordi intercorsi, le parti convengono quanto segue:
1. ULTERIORI DEFINIZIONI E INTERPRETAZIONE
1.1. le premesse costituiscono parte integrante del presente Accordo. Nell'Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 25(6) della Direttiva Europea 95/46/CE sulla Protezione dei Dati Personali (o dell’Articolo 45(3) del GDPR) affinché le leggi di un paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
“Titolari del Trattamento” o “Titolari” indica Xxxxxxxx e San Xxxxxxxx;
“Responsabile del Trattamento dei Dati Personali” o “Responsabile” indica l’AOU Xxxxx ovvero l’ente/società che ha accettato di ricevere la nomina dai Titolari e di procedere al trattamento dei dati personali e sensibili e/o dei campioni biologici in conformità ai termini del presente Accordo e del Contratto;
“Personale del Responsabile del Trattamento dei Dati Personali” indica i dirigenti, ricercatori, collaboratori, xxxxxxxx, dipendenti, consulenti e, ove applicabile, i rappresentanti e altri membri del personale del Responsabile del Trattamento dei Dati Personali;
“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, ed eventuali normative e/o regolamenti attuazione o emanati ai sensi dello stesso attuazione (incluso il decreto legislativo n. 101/2018) o in vigenza della normativa previgente al GDPR e che trovi ancora applicazione in virtù del principio di coerenza, nonché ogni provvedimento vincolante che risulti emanato dalle Autorità di controllo competenti in materia (es. Autorizzazioni generali del Garante per la protezione dei dati personali e/o altri provvedimenti o raccomandazioni della competente Autorità di controllo, quali, le linee guida del Garante per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali).
Si considerano, altresì, inclusi, per quanto e ove applicabili, i requisiti di cui alle Autorizzazioni generali n. 8 e 9/2016 al trattamento dei dati genetici e al trattamento dei dati personali effettuato per scopi di ricerca scientifica, all'Autorizzazione n.2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (e/o alle successive modifiche, integrazioni, revisioni, cancellazioni e/o alle successive prescrizioni dichiarate compatibili dal Garante e/o alle Autorizzazioni generali che verranno eventualmente emesse in sostituzione di quelle vigenti), nonché alla Decisione del Garante del 27 Novembre 2008 "Misure e Accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema" ("Decisione").
“Migliore Prassi di Settore” o “Best practice” indica, in relazione a qualunque attività e in qualunque circostanza, l'esercizio dello stesso livello di perizia, competenza e giudizio, e l’utilizzo di mezzi e risorse di qualità simile o superiore a quelli, che ci si aspetterebbe da un soggetto che: (a) è competente ed esperto nella gestione dei dati personali e sensibili, e, che cerca in buona fede di adempiere i suoi obblighi contrattuali e di evitare di incorrere in responsabilità derivanti dal dovere di diligenza che potrebbero ragionevolmente applicarsi; (b) adotta la dovuta e ragionevole diligenza nell'adempiere i propri obblighi; e (c) ottempera a tutte le leggi vigenti;
“Piano di Gestione degli Incidenti” indica un piano concordato tra i Titolari e il Responsabile per la gestione degli incidenti relativi a Violazioni della Sicurezza dei dati personali (“Data Security Breach”);
“Dati Personali” sarà interpretato in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile in Italia e includerà, a titolo puramente esemplificativo, tutti i dati nella misura in cui siano oggetto di trattamento da parte del Responsabile o per suo conto, sulla base del Contratto di Servizio e successivo Emendamento 1, come, ad esempio, i dati anagrafici e di contatto del personale di Xxxxxxxx e San Xxxxxxxx coinvolto a qualsiasi titolo nelle ricerche e nelle sperimentazioni per le quali è stata richiesta la collaborazione dell’AOU Meyer. Un elenco di tali dati è riportato all'Allegato 1 al presente Accordo;
“Richiesta” indica una richiesta di accesso di un interessato o una richiesta di cancellazione o correzione dei Dati Personali e Sensibili;
“Violazione della Sicurezza dei Dati Personali” indica la perdita effettiva, la distruzione illecita o non autorizzata, l’alterazione o la divulgazione non autorizzata di Dati Personali e Sensibili o l’accesso ad essi in modo accidentale o altrimenti e/o qualunque altra irregolarità nel trattamento dei suddetti Dati;
“Dati Personali Sensibili” avrà il significato di cui all'art. 9 del GDPR, e, se del caso, potrà comprendere anche i dati relativi alla salute dei pazienti o dei donatori dei campioni biologici;
“Giorni Lavorativi” indica dal lunedì al venerdì, esclusi i giorni festivi in Italia;
“Campioni biologici” indica ogni campione di materiale biologico fornito all’AOU Xxxxx da cui possono essere estratti dati genetici caratteristici di un individuo o da cui è comunque possibile risalire a dati personali dell’individuo;
“Contratto” indica il Contratto di Servizio e successivo Emendamento 1 comprensivo degli eventuali allegati tra Xxxxxxxx e San Xxxxxxxx da un lato e l’AOU Xxxxx dall’altro lato, efficace dall’ultima data di sottoscrizione delle Parti;
1.2. Il presente Accordo sostituisce e annulla tutti gli altri contratti, gli accordi e le intese tra le Parti, in forma scritta o orale, in relazione al trattamento dei Dati Personali e Sensibili eventualmente anche di natura genetica e/o dei campioni biologici prelevati da pazienti o donatori;
1.3. qualora vi siano incongruenze tra i termini del presente Accordo e una qualsiasi delle previsioni contrattuali di cui al contratto, prevarrà quanto previsto nel presente Accordo.
1.4. i termini “compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione "a titolo puramente esemplificativo", così da fornire un elenco non esaustivo di esempi.
1.5. per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “trasferimento (nel contesto dei trasferimenti di Dati Personali)” e “misure tecnico-organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2. TRATTAMENTO DEI DATI PERSONALI
I Titolari nominano l’AOU Meyer, che accetta, quale Responsabile del trattamento dei Dati Personali e Sensibili (inclusi, se del caso, anche quelli di natura genetica) che sarà necessario effettuare sulla base del contratto ed ai termini ed alle condizioni previsti nel presente Accordo.
Il tipo di Dati Personali e Sensibili oggetto del Trattamento e le categorie di Interessati sono indicati nell’Allegato 1 (Dettagli relativi ai Dati Personali oggetto del trattamento).
3. LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI
3.1. nell'eseguire il trattamento dei dati personali per conto dei Titolari del Trattamento, il Responsabile dovrà:
3.1.1. eseguire il trattamento dei dati personali e sensibili soltanto nella misura e con le modalità necessarie per adempiere opportunamente i propri obblighi previsti dal contratto e dal presente Accordo ovvero imposti dalla legge o da qualunque organo di vigilanza o controllo, inclusa la Legislazione in materia di Trattamento di dati personali. Il Responsabile potrà correggere, cancellare o bloccare i dati personali di cui effettua il trattamento per conto dei Titolari del trattamento soltanto se e come indicato da questi ultimi;
3.1.2. eseguire il trattamento dei dati personali e sensibili soltanto in conformità alle istruzioni scritte impartite dai Titolari (le quali potranno avere carattere specifico o generale, come stabilito nel presente Accordo o altrimenti comunicato per iscritto, anche tramite email, dai Titolari al Responsabile, nel corso della durata del Contratto). Qualora il Responsabile del Trattamento dei dati personali sia tenuto a eseguire il trattamento dei dati personali e sensibili, per qualunque altra finalità, ai sensi del diritto italiano o dell’Unione Europea, il medesimo informerà i Titolari dell'esistenza di tale obbligo di legge nella misura consentita dal diritto dell’Unione Europea o italiano;
3.1.3. garantire che il trattamento dei dati personali e sensibili sia eseguito solo dal personale del Responsabile a ciò specificamente incaricato, al fine di consentire al Responsabile stesso di adempiere i propri obblighi previsti dal presente Accordo e dal Contratto.
Il Responsabile ha individuato un proprio delegato privacy relativamente alle attività di cui al Contratto di Servizio e relativo Emendamento 1, il Prof. Xxxxxxxxx Xx Xxxxx, contattabile all'indirizzo e-mail xxxxxxxxx.xxxxxxx@xxxxx.xx, e ha nominato un Responsabile della Protezione dei Dati (DPO), Xxxx. Xxxxx Xxxx, contattabile all'indirizzo xxxxxxx.xxx@xxxxx.xx.
3.1.4. garantire di aver adottato misure di sicurezza specifiche in relazione al trattamento dei dati personali, anche sensibili, che possa essere effettuato dal personale del Responsabile, come l’amministratore di sistema, in linea con i principi indicati nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e, ove applicabile, nelle Autorizzazioni generali al trattamento n. 8 e 9/2016 così come successivamente modificate e integrate, nonché, in ogni caso, con quanto stabilito dal GDPR, dagli altri provvedimenti della competente Autorità e dalla normativa applicabile, comunitaria e interna, sul trattamento dei dati personali e sensibili, eventualmente anche di natura genetica.
3.1.5. in caso di fornitura di materiale biologico garantire che i campioni e i relativi derivati vengano gestiti, trasferiti, restituiti, distrutti e custoditi secondo le modalità concordate e, comunque, in conformità alle vigenti prescrizioni di legge, rispettando anche quanto stabilito da eventuali autorizzazioni, raccomandazioni o circolari amministrative.
3.1.6. sempre in caso di fornitura di materiale biologico garantire che, per la custodia e la sicurezza dei campioni biologici e dei relativi derivati, vengano adottate tutte le cautele necessarie e, comunque, quelle prescritte dall’Autorità Garante nell’Autorizzazione n. 8/2016, dal GDPR e dalle altre pertinenti normative di settore;
3.1.7. garantire che i trattamenti di dati personali e sensibili (inclusi eventualmente anche quelli di natura genetica) saranno effettuati nel rispetto di quanto previsto dalle linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali;
3.2. in caso di fornitura di materiale biologico il Responsabile garantirà che il personale interno che gestisce i campioni e accede a dati personali e sensibili:
3.2.1. sia informato della natura riservata e confidenziale dei campioni biologici e dei dati personali e sensibili;
3.2.2. abbia ricevuto, e continui a ricevere per tutta la durata del contratto, una formazione adeguata in modo da essere consapevole degli obblighi imposti ad ogni incaricato del trattamento dei dati personali dalla vigente legislazione in materia di Privacy, dal presente Accordo e dalle altre regole di riservatezza e confidenzialità previste dalle ulteriori disposizioni applicabili;
3.2.3. si impegni contrattualmente ad adempiere gli obblighi del Responsabile del Trattamento dei dati Personali stabiliti nel presente Accordo e a rispettare la riservatezza dei campioni biologici e dei dati personali e sensibili;
3.2.4. si impegni a rispettare le istruzioni impartite dai Titolari in modo da assicurare l’efficacia delle misure di sicurezza adottate;
3.2.5. non utilizzi i campioni biologici e i dati personali e sensibili se non esclusivamente nell’ambito degli adempimenti di cui al Contratto di Servizio e successivo Emendamento 1 e del corretto adempimento del presente Accordo;
3.2.6. renda disponibili i campioni biologici e i dati personali e sensibili solo ai soggetti specificamente indicati per iscritto dai Titolari del trattamento o alle Autorità di controllo nel contesto di attività ispettive o investigative;
3.2.7. non comunichi o metta a disposizione i campioni biologici e i dati personali e sensibili a soggetti terzi diversi da quelli autorizzati ed indicati nel Contratto di Servizio e successivo Emendamento 1 e nel presente Accordo o da quelli indicati in specifiche istruzioni scritte rese dai Titolari del Trattamento.
3.3. il Responsabile non potrà nominare un sub-responsabile del trattamento che lo assista nel fornire i servizi e le attività di cui al contratto, salvo che non sia stato preventivamente autorizzato nell’ambito del predetto contratto o non abbia successivamente ricevuto una specifica autorizzazione scritta da parte dei Titolari e purché il sub-responsabile offra garanzie adeguate e si impegni espressamente ad assumersi gli stessi obblighi che il Responsabile del trattamento dei Dati Personali si è assunto in base al presente Accordo.
4. DISPOSIZIONI IN MATERIA DI SICUREZZA
4.1. ferme restando le altre disposizioni del presente Accordo e della vigente Legislazione in materia di Protezione dei Dati Personali, il Responsabile del Trattamento dei dati personali, adotterà misure di sicurezza e userà un livello di diligenza rispetto ai Campioni biologici eventualmente forniti e ai dati personali e sensibili adeguato rispetto alle prescrizioni esistenti in base alla Legislazione in materia di Protezione di Dati Personali.
4.2. fermo restando quanto previsto nella clausola 4.1, il Responsabile del Trattamento, nell’utilizzare i Campioni biologici eventualmente forniti e nell’eseguire il trattamento dei dati personali per conto dei Titolari, adotterà e si assicurerà che siano sempre operative, misure
tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata o l’accesso ai campioni biologici e ai dati personali e sensibili in conformità all’Allegato 2, a quanto previsto nel contratto ove applicabile, alla Legislazione in materia di Protezione dei Dati Personali, alle altre pertinenti disposizioni normative eventualmente applicabili e, comunque, alle Best Practice. Il Responsabile fornirà, entro le tempistiche richieste dai Titolari, una descrizione scritta dei metodi tecnico-organizzativi ulteriori che eventualmente utilizza per il trattamento dei dati personali e sensibili e per la gestione dei campioni biologici, se ricevuti ai fini dell’esecuzione del contratto.
4.3. il Responsabile, non appena ragionevolmente possibile e sempre entro due (2) giorni lavorativi dalla richiesta dei Titolari del trattamento, fornirà a quest’ultimo una descrizione scritta particolareggiata delle misure tecniche e organizzative che ha adottato o che sono state adottate per suo conto, al fine di dimostrare e garantire il rispetto della clausola 4.1.
4.4. resta, comunque, inteso che i dati sensibili (inclusi eventualmente anche quelli di natura genetica) e i campioni biologici eventualmente forniti sono soggetti a misure di sicurezza specifiche e più rigorose secondo quanto previsto nell'Allegato 2, nella vigente Legislazione in materia di Protezione dei Dati Personali e negli altri provvedimenti pertinenti, anche di natura regolamentare.
5. LIMITAZIONI AL TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
5.1. il Responsabile non trasferirà i Dati Personali al di fuori del SEE senza il previo consenso scritto esplicito dei Titolari del trattamento.
5.2. qualora i Titolari del trattamento acconsentano al trasferimento al di fuori del SEE, tale consenso sarà subordinato al fatto che il Responsabile adotti e continui ad adottare costantemente le misure che potranno essere ragionevolmente richieste dai Titolari per garantire la protezione adeguata di tali dati personali in conformità alla Legislazione in materia di Protezione dei dati personali, che potranno includere la sottoscrizione da parte del Responsabile del Trattamento dei dati Personali delle clausole contrattuali tipo previste nella Decisione della Commissione europea 2010/87/UE, del 5 febbraio 2010, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”) con i Titolari del trattamento nella forma prescritta dalla Commissione europea. Qualora i Titolari del trattamento autorizzino il Responsabile del Trattamento dei dati personali a trasferire i dati personali e sensibili al di fuori del SEE, e una Decisione di Adeguatezza della Commissione europea su cui il Responsabile del Trattamento dei dati personali abbiano fatto affidamento per garantire una protezione adeguata dei dati personali in conformità alla Legislazione in materia di Protezione dei Dati Personali, sia sospesa, dichiarata invalida o cessi altrimenti di essere disponibile, il Responsabile del Trattamento dei Dati Personali informerà immediatamente per iscritto i Titolari del trattamento, i quali si riservano il diritto di revocare il consenso prestato in virtù del paragrafo 5.1, senza penali o costi aggiuntivi, e il Responsabile del Trattamento dei dati Personali adotterà prontamente le misure necessarie per garantire che
i Servizi possano continuare a essere forniti in conformità alle disposizioni dei contratti e del presente Accordo, e alla Legislazione in materia di Protezione dei dati Personali.
5.3. il Responsabile del Trattamento dei dati personali riconosce e accetta che ove i dati personali sensibili debbano essere trasferiti al di fuori del SEE, potrebbe essere necessario garantire che ulteriori tutele e misure di sicurezza vengano adottate dal Responsabile del Trattamento dei dati personali, quali una cifratura più forte o il mantenimento di un registro scritto degli accessi eseguiti a tali dati Personali Sensibili. Tali misure dovranno essere concordate per iscritto con i Titolari del trattamento prima del trasferimento.
6. ASSISTENZA AI FINI DELLA CONFORMITÀ
6.1. Il Responsabile del Trattamento dei dati personali ottempererà sempre ai requisiti della Legislazione in materia di Protezione dei Dati Personali impegnandosi a garantire che il proprio Personale faccia altrettanto, e osserverà gli obblighi previsti nel presente Accordo in modo tale da garantire che i Titolari del Trattamento non siano o non possano potenzialmente risultare inadempienti rispetto agli obblighi previsti dalla vigente Legislazione in materia di Protezione dei Dati Personali;
6.2. Il Responsabile del Trattamento dei dati personali si conformerà a tutte le richieste dei Titolari del trattamento (e/o dei revisori e rappresentanti interni o esterni, subordinatamente alla sottoscrizione di impegni alla riservatezza ragionevoli e appropriati da parte di costoro) e/o di Enti di supervisione o governativi, incluso il Garante per la protezione dei dati personali, di ispezionare e verificare le attività del Responsabile, registrare le attività di Trattamento (ivi compresi i registri conservati in conformità alla Clausola 6.8), le strutture, i processi e le procedure, i documenti, i materiali, i campioni, i prodotti, le risorse e le apparecchiature, al fine di consentire ai Titolari di verificare che il Responsabile rispetti integralmente gli obblighi previsti dal presente Accordo, dal contratto ed eventualmente dai relativi allegati nonché dalla Legislazione in materia di Protezione dei Dati Personali.
6.3. I Titolari del Trattamento, con ragionevole preavviso, avranno diritto di svolgere audit e valutazioni sulla sicurezza. I Titolari del Trattamento comunicheranno al Responsabile i risultati di tali test dopo il loro completamento.
6.4. per le finalità della clausola 6.2, il Responsabile, previo ragionevole preavviso, consentirà ai Titolari e/o ai loro revisori o rappresentanti e/o a qualunque Ente di supervisione o governativo, di accedere a tutti i locali che occupa (o a tutte le altre sedi in cui sono conservati e/o trattati dati personali e Sensibili e/o campioni biologici), al fine di consentire lo svolgimento di tale ispezione e/o audit.
6.5. il Responsabile del Trattamento dei dati personali, a proprie spese, fornirà prontamente ai Titolari del Trattamento piena cooperazione e assistenza al fine di garantire che ciascuna parte rispetti i requisiti e gli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali e dal presente Accordo, ivi compreso, a titolo puramente esemplificativo:
personali e sensibili e, allo stesso tempo, fornendo tutti i dettagli e una copia di tale richiesta;
6.5.3. fornendo ragionevole assistenza ai Titolari del Trattamento nel gestire eventuali richieste o reclami di cui alle Clausole 6.5.1 e 6.5.2 o nel rispondere a essi;
6.5.4. fornendo ai Titolari del Trattamento, il prima possibile, e comunque entro e non oltre cinque giorni dalla richiesta, i dati personali e sensibili e/o i campioni biologici che eventualmente detiene, al fine di consentire a costoro di rispondere alle richieste degli interessati;
6.5.5. fornendo ai Titolari del Trattamento, entro cinque giorni Lavorativi dalla data della sua richiesta, le informazioni che detiene e che i Titolari potrebbero ragionevolmente richiedere rispetto alla fornitura dei servizi e all’adempimento degli obblighi del Responsabile del Trattamento dei dati personali previsti dal presente Accordo e dal contratto, ivi compreso in relazione a qualunque richiesta o reclamo ricevuto dai Titolari del Trattamento o dal Responsabile del Trattamento dei dati personali.
6.6. il Responsabile del Trattamento dei dati personali, a proprie spese, dovrà informare i Titolari del Trattamento di eventuali comunicazioni ricevute da Autorità di regolamentazione rispetto a profili che lo riguardano.
6.7. il Responsabile del Trattamento dei dati personali, a proprie spese, tratterà prontamente e adeguatamente tutte le richieste e le domande ricevute dai Titolari del Trattamento in relazione al trattamento dei dati Personali e sensibili o risponderà ad esse.
6.8. il Responsabile del Trattamento dei dati personali, a proprie spese, manterrà il registro di cui all’art. 30 del GDPR scritto di tutte le attività di trattamento svolte per conto dei Titolari del Trattamento, contenenti le informazioni prescritte dalla Legislazione in materia di Protezione dei Dati Personali. Il Responsabile del Trattamento dei dati personali metterà tale registro a disposizione dei Titolari e degli organi di vigilanza, se e laddove richiesto da tali parti.
6.9. il Responsabile del Trattamento dei dati personali fornirà assistenza ai Titolari del Trattamento nell'individuazione e nella raccolta delle informazioni necessarie per garantire ai Titolari del trattamento l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali.
6.10. il Responsabile si impegna, a trattare e conservare, per conto dei Titolari del trattamento, i dati personali nel rispetto dei principi di cui alla Legislazione in materia di Protezione dei Dati personali (privacy by design & by default) e, in ogni caso, in maniera lecita, corretta e trasparente nei confronti degli interessati, nonché a rendere, su richiesta, ai Titolari del trattamento ogni informazione utile a verificare la conformità a tali principi, impegnandosi a concordare con i Titolari eventuali misure integrative o di rettificazione necessarie a tal fine.
6.11. il Responsabile informerà immediatamente i Titolari, non appena si renda conto di non essere in grado o che potrebbe verosimilmente trovarsi non in grado, di rispettare gli obblighi previsti dal presente Accordo o dalla Legislazione in materia di Protezione dei Dati Personali e i requisiti o le istruzioni specifiche o generali dei Titolari riguardo al trattamento dei Dati Personali e Sensibili, dopo di che i Titolari del Trattamento, a loro esclusiva discrezione e senza incorrere in costi supplementari o responsabilità, avranno diritto a:
6.11.1. sospendere il diritto del Responsabile del Trattamento dei Dati Personali di eseguire il trattamento dei Dati Personali e Sensibili per loro conto (nella misura e per il periodo eventualmente stabilito dai Titolari del Trattamento) fino a quando quest’ultimo non possa dimostrare, in modo giudicato ragionevolmente soddisfacente dai Titolari del Trattamento, di essere in grado - e di continuare ad esserlo – di rispettare i propri obblighi. Resta inteso che, laddove il Responsabile del Trattamento dei dati personali non possa dimostrare, in modo giudicato ragionevolmente soddisfacente dai Titolari del Trattamento, di essere in grado e di continuare a essere in grado di rispettare i termini del presente Accordo e la Legislazione in materia di Protezione dei Dati Personali, i Titolari del Trattamento avranno diritto di risolvere il presente Accordo comunicandone l’intenzione al Responsabile.
6.12. il Responsabile del trattamento si atterrà alle istruzioni fornite dai Titolari del trattamento in merito all'applicazione di misure organizzative e tecniche idonee a garantire il rispetto dei tempi di conservazione dei dati personali e sensibili stabiliti dai Titolari. Alla scadenza del termine di conservazione dei dati personali e sensibili, il Responsabile provvederà alla cancellazione degli stessi.
6.13. laddove il Responsabile del Trattamento dei dati personali sospetti, o venga a conoscenza di una violazione della sicurezza dei dati personali, lo stesso dovrà:
6.13.1. informare immediatamente, senza alcun indugio e, in ogni caso, entro ventiquattro ore (24 ore), i Titolari del Trattamento;
6.13.2. fornire ai Titolari del Trattamento, il prima possibile e, in ogni caso, non oltre quarantotto ore (48 ore) dopo esserne venuto a conoscenza:
6.13.2.1. la data e l’ora in cui si è verificata la violazione della sicurezza;
6.13.2.2. ove nota, una descrizione dettagliata della natura della violazione di sicurezza e di come e quando si è verificata, descrivendo, se possibile, anche le categorie e il numero approssimativo degli interessati coinvolti;
6.13.2.3. i nomi e i dati di contatto di una persona di riferimento del Responsabile da cui è possibile ottenere informazioni più dettagliate in ordine all’accaduto;
6.13.2.4. le probabili conseguenze della violazione di sicurezza;
6.13.2.5. il tipo di dati che sono stati oggetto della violazione della sicurezza;
6.13.2.6. le misure eventualmente adottate per criptare i dati che sono stati oggetto della violazione della sicurezza;
6.13.2.7. l’identità, se conosciuta, di ciascuno degli Interessati coinvolti;
6.13.2.8. eventuali comunicazioni trasmesse a Organi di Regolamentazione o Interessati rispetto alla violazione della sicurezza;
6.13.2.9. informazioni sulle misure già adottate o sulle misure che ci si propone di adottare per porre rimedio alla violazione della sicurezza, ivi comprese le misure per attenuare i possibili effetti avversi della violazione della sicurezza;
6.13.2.10. aggiornamenti tempestivi in ordine alle informazioni di cui ai punti che precedono e ogni altra diversa informazione che i Titolari del Trattamento possano ragionevolmente richiedere in relazione alla violazione della sicurezza;
6.13.3. tenere costantemente aggiornati i Titolari del trattamento di ogni ulteriore informazione utile e pertinente di cui sia a venuto conoscenza anche oltre le quarantotto ore (48 ore) successive alla violazione della sicurezza;
6.13.4. salvo laddove diversamente concordato con i Titolari del Trattamento per iscritto (ivi compreso via email) svolgere i dovuti approfondimenti e le necessarie indagini sulle ragioni e sulle potenziali conseguenze della violazione di sicurezza, prendendo, senza indugio, e a proprie spese, i provvedimenti utili a porre fine alla Violazione e individuando, congiuntamente ai Titolari, eventuali azioni di recupero o di altro tipo necessarie per rimediare a tale violazione della sicurezza;
6.13.5. consentire ai Titolari del trattamento, o a qualunque ispettore terzo incaricato da quest’ultimo, di accedere ai locali, ai file, ai sistemi informatici e a qualunque altro documento elettronico o cartaceo relativo alla violazione della sicurezza, fornendo tutta l’assistenza necessaria durante lo svolgimento di eventuali controlli o ispezioni;
6.13.6. non mettere in circolazione o pubblicare documenti, comunicazioni, avvisi, comunicati stampa o rapporti riguardanti violazioni della sicurezza senza il previo consenso scritto esplicito dei Titolari del Trattamento (salvo che non sia imposto dalle leggi vigenti, e comunque non prima di aver avvertito i Xxxxxxxx del Trattamento).
6.14. qualora la Commissione Europea stabilisca, o un’Autorità di vigilanza adotti, clausole contrattuali tipo per le materie di cui all’Articolo 28(3) e all’Articolo 28(4) del GDPR ai sensi dell’Articolo 28(7) o dell’Articolo 28(8) del GDPR (se del caso), e i Titolari del Trattamento informino il Responsabile del Trattamento dei dati personali della propria intenzione di includere qualunque elemento di tali clausole contrattuali tipo nel presente Accordo, il Responsabile del Trattamento dei dati personali accetterà le modifiche richieste dai Titolari del Trattamento al fine di includere tali elementi per iscritto.
7. RESPONSABILITÀ
7.1. il Responsabile del Trattamento dei dati personali si impegna a manlevare e garantire i Titolari del Trattamento da qualsiasi, azione, procedimento, responsabilità, perdita, danno, costo, pretesa, sanzione amministrativa, spesa e/o richiesta, subita o sostenuta dai Titolari del Trattamento, per il danno materiale o immateriale cagionato dal trattamento che violi il presente Accordo la Legislazione in materia di Protezione dei Dati Personali ad opera del
Responsabile del Trattamento dei dati personali o del personale del Responsabile del Trattamento Dei Dati Personali.
7.2. i Titolari potranno risolvere di diritto il presente Accordo ai sensi dell’art. 1456 c.c. ovvero revocarlo ove il Responsabile del Trattamento violi anche solo uno degli obblighi contenuti negli articoli 3.1, 3.2, 3.3, 4.1, 4.2, 4.3, 4.4, 5.1, 5.3, 6.1, 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.8, 6.9, 6.10, 6.11, 6.12, 6.13 del presente Accordo. In tal caso il presente accordo si considererà risolto dal momento in cui i Titolari comunicheranno al soggetto nominato Responsabile del trattamento l’intenzione di avvalersi degli effetti della presente clausola.
8. DISPOSIZIONI PER LA RESTITUZIONE O LA DISTRUZIONE DEI DATI PERSONALI
8.1. immediatamente all’atto della risoluzione o cessazione del presente Accordo, per qualunque ragione, ovvero, se precedentemente, alla scadenza del Contratto cui si riferisce, il Responsabile del Trattamento dei Dati Personali:
8.1.1. cesserà di accedere ai dati personali e sensibili, di utilizzarli o di occuparsi del loro trattamento, tranne laddove la legge impedisca al Responsabile del Trattamento di distruggerli totalmente o parzialmente, nel qual caso il medesimo si impegna a mantenere tutti i Dati Personali e Sensibili riservati e a non divulgarli a terzi ovvero a utilizzarli o a sottoporli al trattamento per qualunque finalità.
8.1.2. restituirà tempestivamente tutti i dati personali e sensibili ed eventuali copie ai Titolari del Trattamento, ove applicabile ovvero, su loro richiesta scritta, distruggerà tali dati personali e sensibili ed eventuali copie e certificherà per iscritto ai Titolari di aver provveduto in tal senso, tranne laddove la legge impedisca al Responsabile del Trattamento di distruggerli totalmente o parzialmente, nel qual caso il medesimo si impegna a mantenere tutti i dati personali e sensibili riservati e a non divulgarli a terzi ovvero a utilizzarli o a sottoporli al trattamento per qualunque finalità.
8.2. Resta salva la possibilità per il Responsabile del Trattamento di utilizzare i risultati delle operazioni di trattamento per finalità scientifiche proprie, solo previa anonimizzazione dei dati personali ivi contenuti, così come previsto nel Contratto di Servizio e successivo Emendamento 1.
Per la FONDAZIONE TELETHON
Nome e Cognome: Xxxxxxxxx Xxxxxxxxx
Titolo: Delegata Privacy, giusta delibera del C.d.A. del 7 febbraio 2013 Firma:
Luogo e data:
Per l’OSPEDALE SAN XXXXXXXX SRL
Nome e Cognome: Xxxxx Xxxxxxxxxx Titolo: Amministratore Delegato
Firma:
Luogo e data:
Per l’Azienda Ospedaliero-Universitaria Xxxxx
Nome e Cognome: Xxxxxxx Xxxxxxxx Titolo: Direttore Generale
Firma:
Luogo e data:
Allegato 1
Dettagli relativi ai Dati Personali e Sensibili oggetto del trattamento
Categorie di Interessati
1. Il personale di Xxxxxxxx e San Xxxxxxxx impegnato a qualsiasi titolo nelle attività di studio/ricerca e di sperimentazione pre-clinica e clinica che coinvolgono l’AOU Xxxxx;
2. I soggetti che in qualità di pazienti e/o di donatori di campioni biologici partecipano agli studi/alle ricerche e/o alle sperimentazioni pre-cliniche e/o cliniche in cui risulta coinvolta l’AOU Meyer
Categorie di dati personali
1. Dati Comuni: anagrafici e di contatto;
2. Dati Particolari: clinici, demografici (per es. peso ecc.) relativi allo stato di salute (la patologia specifica di cui è affetto il paziente) e Campioni Biologici.
Descrizione delle Attività di Trattamento
Il trattamento dei Dati effettuato nell’ambito del Contratto di Servizio è necessario per condurre ricerche e sperimentazioni pre-cliniche e cliniche finalizzate a tutelare la salute degli interessati e della collettività, con particolare riferimento alla patologia di natura genetica Mucopolisaccaridosi di tipo I (MPSI).
In particolare i pazienti coinvolti nelle attività di ricerca e sperimentazione sono pazienti affetti da MPSI che partecipano allo studio clinico di terapia genica TigetT10_MPSIH condotto presso OSR, oppure pazienti affetti da MPSIH sottoposti a trapianto allogenico presso centri esterni, quali ad esempio Manchester University NHS Foundation Trust (Manchester, UK), Universitair Medisch Centrum Utrecht (Utrecht, NL) e Ospedale Gaslini (Monza, Italy).
All’AOU Meyer è stata affidata la ricerca relativa, ma non solo, all’analisi dei glicosamminoglicani e dell’enzima IDUA in campioni di pazienti affetti da MPSI.
Pertanto le attività affidate all’AOU Xxxxx comportano che quest’ultima tratti, per conto dei Titolari, sia i Dati comuni del personale amministrativo e operativo dei rispettivi Titolari sia i Dati Particolari dei pazienti.
Per l’esecuzione di tali attività l’AOU Xxxxx avrà accesso, utilizzerà e conserverà, nei tempi e nei modi contrattualmente convenuti, Dati Comuni e Particolari.
Allegato 2
Il Responsabile del Trattamento si impegna, ad applicare, ove applicabili, anche le seguenti misure di
sicurezza.
1. Controllo degli accessi a sedi e uffici
al fine di prevenire l’accesso fisico non autorizzato ai locali e/o agli impianti in cui sono conservati dati personali e sensibili (eventualmente anche di natura genetica), dovranno essere adottate misure che includano:
- Sistemi di portineria con controllo degli accessi e/o utilizzo di sistemi di vigilanza;
- Accesso ai locali aziendali consentito tramite Badge personale (o visitatore);
- (Rilascio di) chiavi controllato da incaricati aziendali;
- Chiusura delle porte (sistemi elettrici di apertura delle porte, ecc.); Sistemi di registrazione di ingressi/uscite dalle strutture del Responsabile.
1.1. resta inteso che, in caso di trattamento di dati genetici e/o di campioni biologici, al fine di impedire accessi non autorizzati ai locali o ai luoghi in cui questi sono conservati, sarà necessario avvalersi alternativamente o congiuntamente di:
- Personale incaricato alla vigilanza;
- Strumenti elettronici che prevedano specifiche procedure di identificazione e di registrazione (eventualmente anche mediante dispositivi biometrici) delle persone che, a qualunque titolo, possono o devono accedere ai luoghi o ai locali in cui sono conservati dati genetici e/o campioni biologici, eventualmente anche dopo l’orario di chiusura;
- ogni altra misura utile o necessaria individuata dall’autorizzazione generale n. 8/16 e/o dalle relative prescrizioni dichiarate compatibili dal Garante e/o da successive autorizzazioni generali in materia di trattamento di dati genetici;
2. Controllo degli accessi ai sistemi
al fine di evitare l’accesso non autorizzato ai sistemi informatici e limitare l’accesso soltanto al Personale autorizzato del Responsabile, dovranno essere adottate misure tecnico-organizzative per l’identificazione e l'autenticazione degli utenti, che includano:
- Procedure relative alle password (inclusi caratteri speciali, lunghezza minima, modifica obbligatoria della password alla data di scadenza stabilita);
- Divieto di accesso a utenti ospiti e account anonimi;
- Gestione centralizzata del sistema di accessi;
- Accesso ai sistemi informatici previa approvazione del responsabile delle risorse IT e degli amministratori del sistema informatico;
- Adozione di sistemi di sicurezza per reti, applicazioni di dispositivi, database e piattaforme;
- Soluzione di trasferimento dei file in modalità FTP "sicuro" o equivalente dal punto di vista della sicurezza del trasmissione;
3. Controllo dell'accesso ai dati
al fine di evitare che utenti autorizzati accedano a dati che vanno oltre i loro diritti di accesso autorizzati e al fine di prevenire la modifica o divulgazione non autorizzata dei dati [inserimento, lettura, copia o eliminazione], dovranno essere adottate misure che includano:
- Diritti di accesso differenziati;
- Diritti di accesso definiti in base alle funzioni svolte;
- Registrazione automatica degli accessi degli utenti attraverso i sistemi informatici, ove previsto dagli applicativi utilizzati;
- Misure di sicurezza dei software; ove opportuno, cifratura dei dati con opportuni algoritmi che garantiscono livelli di sicurezza adeguati;
- Sospensione del profilo degli utenti autorizzati in caso di mancato utilizzo per un periodo di tempo superiore a novanta giorni;
- Prescrivere agli incaricati al trattamento di adottare le necessarie cautele per assicurare la segretezza delle credenziali di accesso a loro assegnate e la diligente custodia dei dispositivi in loro possesso ed uso esclusivo;
- Procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati ai soggetti incaricati di effettuare operazioni di trattamento;
3.1. Resta, in ogni caso, inteso che, in caso di trattamento di dati genetici, gli stessi dovranno essere trattati con tecniche di cifratura o mediante l´utilizzazione di codici identificativi o comunque con soluzioni tali da renderli incomprensibili anche ai soggetti autorizzati ad accedervi, consentendo di identificare gli interessati solo in caso di effettiva necessità. In tal caso resta inteso che il personale autorizzato potrà accedere ai dati genetici trattati con strumenti elettronici solamente tramite l’uso combinato di informazioni note a costoro o di credenziali di accesso dedicate e di dispositivi, anche biometrici, in loro possesso.
4. Controllo della diffusione dei dati
al fine di evitare l’accesso non autorizzato, la modifica o l’eliminazione dei dati durante la trasmissione dei dati e garantire che tutte le trasmissioni siano sicure e registrate, dovranno essere adottate misure che includano:
- Codifica mediante VPN per l’accesso remoto, il trasporto e la comunicazione dei dati, ove necessario e se specificatamente richiesto dai Titolari;
- Ove necessario e se specificatamente richiesto dai Titolari pseudonimizzazione dei dati e cifratura dei dati trasmessi mediante l’utilizzo di canali cifrati;
4.1. resta inteso che in caso di trasferimento di dati genetici da parte del Responsabile del trattamento la trasmissione dovrà avvenire in formato elettronico ed esclusivamente tramite posta elettronica certificata previa cifratura dei dati con firma digitale.
5. Controllo delle attività
al fine di garantire che il trattamento dei dati avvenga rigorosamente in conformità alle istruzioni fornite dai Titolari del Trattamento, dovranno essere adottate misure che includano:
- Monitoraggio dell'esecuzione dell'Accordo e degli adempimenti di cui al Contratto;
- Selezione dei dipendenti;
- Supervisione ed istruzione dei dipendenti.
6. Controllo dell’integrità, della qualità, della disponibilità e della tracciabilità dei dati e dei campioni biologici
in caso di fornitura di campioni biologici e/o di trattamento di dati genetici, per garantire che gli stessi siano protetti da danneggiamenti, da alterazioni o da perdite, anche accidentali, dovranno essere adottate misure che includano:
- Gruppo di continuità (UPS);
- Procedure per la continuità operativa dell'azienda;
- Archiviazione in remoto;
- Sistemi anti-virus/antimalware/firewall;
- Periodico aggiornamento di antivirus/antimalware/firewall e degli altri programmi volti a garantire la sicurezza e/o a correggere i difetti degli strumenti elettronici e/o dei sistemi informatici;
- Idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati;
nonché rispettate, ove applicabili, le prescrizioni e/o le raccomandazioni contenute:
- Nel Titolo X del D.lgs n. 81/2008;
- Nelle normative di settore e/o nelle circolari afferenti al trasporto, alla conservazione e all’utilizzo di campioni biologici.
7. Controllo della separazione dei dati
al fine di consentire che dati raccolti per finalità diverse siano trattati separatamente, dovranno essere adottate misure che includano:
- Limitazione dell’accesso ai dati archiviati per finalità diverse in base alle funzioni svolte dal personale;
- Separazione dei sistemi informatici dell’azienda, ove possibile e se richiesto dai Titolari;
- Separazione degli ambienti informatici di produzione e test, ove possibile e se richiesto dai Titolari;
- Ove applicabile, separazione dei dati clinici e/o dei dati genetici del paziente e/o del donatore dagli altri dati personali e sensibili e archiviazione dei dati in modo disgiunto.
8. Controllo dell’archiviazione dei dati
dovranno, in ogni caso, essere adottate misure per garantire la sicurezza di locali aziendali, centri dati, documenti cartacei, server, sistemi di back-up e apparecchiature informatiche, ivi compresi, a titolo puramente esemplificativo, tutti i dispositivi mobili e le altre apparecchiature in grado di memorizzare informazioni. Le misure di sicurezza devono periodicamente essere riconsiderate ed adeguate ai progressi tecnici ed all'evoluzione dei rischi.