AZIENDA ULSS N. 8 BERICA
Servizio Sanitario Nazionale - Regione Veneto
AZIENDA ULSS N. 8 BERICA
Viale X. Xxxxxxx n. 37 – 00000 XXXXXXX
DELIBERAZIONE
n. 825 del 6-5-2021
O G G E T T O
Accordo di collaborazione con l'Azienda Ospedaliera Universitaria Integrata di Verona per la raccolta, stoccaggio e l'eventuale trasferimento di pazienti/donatori e di cellule staminali emopoietiche (CSE) ai fini della definizione di un "disaster plan".
Durata biennale.
Proponente: Direzione Amministrativa di Ospedale - (DAO) Anno Proposta: 2021
Numero Proposta: 1043
Il Direttore della U.O.C. Direzione Amministrativa di Ospedale riferisce che:
“La scrivente Azienda X.X.XX. 8 Berica, in data 21/07/2010, e successivamente nell’anno 2015, ha ottenuto l’accreditamento internazionale JACIE (Joint Accreditation Committee ISCT & EMBT) e CNT/CNS inerente il Programma Trapianti di Cellule Staminali Emopoietiche di Vicenza (CSE).
L’accreditamento JACIE indica gli standard qualitativi necessari a una struttura sanitaria perché essa possa operare nell’ambito della raccolta, manipolazione e utilizzo clinico delle cellule staminali.
Per il mantenimento dell’accreditamento in argomento, è necessario che le Aziende X.X.XX. interessate stabiliscano accordi che garantiscano la possibilità reciproca di mettere in sicurezza i pazienti/donatori nonché le cellule staminali emopoietiche (CSE) nell’eventualità di eventi avversi che possano minare la loro incolumità e integrità.
Pertanto, con nota prot. 67597del 15/07/2020, l’Azienda Ospedaliera Universitaria Integrata Verona, ha chiesto la stipula di un accordo di reciproca collaborazione nel caso in cui, per cause straordinarie e/o di forza maggiore, l’U.O.C. Medicina Trasfusionale dell’Azienda Ospedaliera non sia in grado di garantire lo svolgimento di attività indifferibili attinenti al programma trapianto di Cellule Staminali Emopoietiche (CSE).
Le prestazioni che l’Azienda Ospedaliera Universitaria Integrata di Verona e l’Azienda X.X.XX. si impegnano ad erogare reciprocamente in caso di necessità sono le seguenti: raccolta di CSE/linfociti da aferesi; processazione di midollo osseo; manipolazione minima CSE; criopreservazione CSE/linfociti; stoccaggio e trasferimento dell’intera attività (pazienti/donatori/prodotti cellulari/tank criogenici).
L’accordo di reciproca collaborazione in argomento risponde a quanto richiesto dagli standard qualitativi JACIE, 7 ^ edizione, per l’accreditamento e va rinnovato ogni due anni.
Stante i pareri favorevoli del Direttore sanitario, della Direzione Medica Ospedaliera e del Direttore dell’U.O.C. Medicina Trasfusionale della scrivente Azienda X.X.XX., si propone di approvare l’accordo di collaborazione con l’Azienda Ospedaliera Universitaria Integrata di Verona per la raccolta, stoccaggio e l'eventuale trasferimento di pazienti/donatori e di cellule staminali emopoietiche (CSE) della durata di anni due e con decorrenza dalla data di ultima sottoscrizione.
Il medesimo Direttore ha attestato l’avvenuta regolare istruttoria della pratica anche in relazione alla sua compatibilità con la vigente legislazione regionale e statale in materia.
I Direttori Amministrativo, Sanitario e dei Servizi Socio-Sanitari hanno espresso il parere favorevole per quanto di rispettiva competenza.
Sulla base di quanto sopra
IL DIRETTORE GENERALE XXXXXXXX
1. di approvare, per quanto in premessa esposto, l’accordo di collaborazione tra l’Azienda X.X.XX. 8 Berica e l’Azienda Ospedaliera Universitaria Integrata di Verona per la raccolta, stoccaggio e l'eventuale trasferimento di pazienti/donatori e di cellule staminali emopoietiche (CSE), della durata di anni due e con decorrenza dalla data di ultima sottoscrizione nei termini e con le modalità precisate nel disciplinare allegato alla presente deliberazione, della quale forma parte integrante e sostanziale (All. 1);
2. di prendere atto dell’accordo per la nomina a Responsabile esterno del trattamento dei dati ex art. 28 Regolamento UE 2016/679 dell’Azienda X.X.XX. 8 Berica da parte dell’Azienda Ospedaliera Universitaria Integrata di Verona (All. 2);
3. di prendere atto dell’accordo per la nomina a Responsabile esterno del trattamento dei dati ex art. 28 Regolamento UE 2016/679 dell’Azienda Ospedaliera Universitaria Integrata di Verona da parte dell’Azienda X.X.XX. 8 Berica (All. 3);
4. di incaricare la Direzione Amministrativa di Ospedale per gli ulteriori adempimenti amministrativi di competenza;
5. di pubblicare la presente all’Albo dell’Ente e nel sito internet aziendale alla pagina “Amministrazione Trasparente” ai sensi del D. Lgs. 14 marzo 2013 n. 33.
*****
Parere favorevole, per quanto di competenza:
Il Direttore Amministrativo (Xxx.xx dr. Xxxxxxxx Xxxxxx)
Il Direttore Sanitario (Xxx.xx dr. Xxxxxxxxx Xxxxx)
Il Direttore dei Servizi Socio-Sanitari (Xxx.xx dr. Xxxxxxxxx Xxxxxxxxxx)
IL DIRETTORE GENERALE
(X.xx digitalmente Xxxxx Xxxxxxxxxx Xxxxxxxx)
Documento Firmato digitalmente da XXXXXXXX Xxxxx Xxxxxxxxxx in data 06/05/2021 alle ore 17:46
Il presente atto è eseguibile dalla data di adozione.
Il presente atto è proposto per la pubblicazione in data 7-5-2021 all’Albo on-line dell’Azienda con le seguenti modalità:
Oggetto e contenuto
Copia del presente atto viene inviato in data 7-5-2021 al Collegio Sindacale (ex art. 10, comma 5, L.R. 14.9.1994, n. 56).
IL RESPONSABILE PER LA GESTIONE ATTI DELL’UOC AFFARI GENERALI
ACCORDO DI COLLABORAZIONE TRA
L'Azienda Ospedaliera Universitaria Integrata Verona (di seguito denominata anche AOUI Verona), con sede in Verona, P.le X. Xxxxxxx, n. 1, codice fiscale e P. IVA n. 03901420236, nella persona del Direttore Generale dott. Xxxxxxxx Xxxxx Xxxxx, nato a Terno d’Isola (BG) il 29.05.1962
E
l’Azienda ULSS n. 8 Berica, (di seguito per brevità denominata ULSS n. 8) con sede a Vicenza, via X. Xxxxxxx n. 37, codice fiscale/P.I. 02441500242, rappresentata dal Direttore Generale, dott.ssa Xxxxx Xxxxxxxxxx Xxxxxxxx, nata a Palmi (RC) il 19/05/1957 Cod. Fisc. BNVMGS57E59G288F)
Premesso che
⮚ l’U.O.C. Medicina Trasfusionale dell’Azienda Ospedaliera Universitaria Integrata Verona e l’U.O.C. Medicina Trasfusionale dell'Azienda ULSS
n. 8 Berica effettuano attività connesse alla raccolta, manipolazione, criopreservazione di Cellule Staminali Emopoietiche (CSE);
⮚ in caso di emergenza sia l’U.O.C. Medicina Trasfusionale dell'Azienda ULSS n. 8 Berica sia l’U.O.C. Medicina Trasfusionale dell’Azienda Ospedaliera Universitaria Integrata Verona devono essere in grado di reagire rapidamente e nel modo più uniforme possibile al fine di consen- tire la salvaguardia delle persone e dei processi riguardanti le terapie di raccolta e trapianto delle cellule staminali, in conformità alla normativa vigente;
⮚ poiché il presente accordo prevede prestazioni reciproche, si definisce “struttura inviante” la struttura che, in stato di emergenza, sposta verso
l’altra attività/prodotti e “struttura ricevente” quella che riceve attivi- tà/prodotti allo scopo di consentire la salvaguardia delle persone e dei processi di cui al punto precedente;
Si conviene e si stipula quanto segue:
Art. 1 - Oggetto dell’accordo
1. L'U.O.C. Medicina Trasfusionale di AOUI Verona, e l’U.O.C. Medici- na Trasfusionale dell'ULSS n. 8, in caso di emergenza che pregiudichi lo svolgimento di attività indifferibili attinenti al programma trapianto di Cellule Staminali Emopoietiche (CSE), garantiscono le seguenti pre- stazioni:
- raccolta di CSE/linfociti da aferesi
- processazione midollo osseo
- manipolazione minima CSE
- criopreservazione CSE/linfociti
- stoccaggio.
2. Inoltre nell’ambito del presente accordo entrambe le parti garantiscono l’accesso alle proprie strutture dei pazienti/donatori nel caso in cui, per gravi impedimenti dovuti ad eventi straordinari e/o di forza maggiore, si renda necessario lo spostamento dell’intera attività (pazien- ti/donatori/prodotti cellulari/tank criogenici) dalla struttura inviante (U.O.C. Medicina Trasfusionale di AOUI Verona o l’U.O.C. Medicina Trasfusionale dell'ULSS n. 8) verso la struttura ricevente (rispettiva- mente l’U.O.C. Medicina Trasfusionale dell'ULSS n. 8 o l’U.O.C. Me- dicina Trasfusionale di AOUI Verona).
Art. 2 - Espletamento della prestazione
1. Le attività di cui all'art. 1 potranno essere garantite con le seguenti mo- dalità orarie:
- entro 24h dal ricevimento della preliminare richiesta telefonica
- dal lunedì al venerdì ore 8:00 -17:00.
2. Orari di attività differenti vengono concordati tra i responsabili delle strutture sulla base delle criticità emergenti, nell'ottica di garantire la migliore soluzione organizzativa.
Art. 3 - Compiti della struttura inviante
1. L'organizzazione e lo spostamento dell'attività (pazien- ti/donatori/prodotti cellulari, tank criogenici) sono a carico della struttu- ra inviante, unitamente alla documentazione completa pertinente e alla opportuna richiesta formale.
2. Tutte le operatività verranno effettuate da personale formato in base al- le Procedure Operative Standard in uso presso la struttura ricevente.
Art. 4 - Tariffe
1. I costi per le prestazioni erogate dalla struttura ricevente saranno adde- bitati alla struttura inviante secondo le tariffe del nomenclatore tariffa- rio vigente della Regione Veneto. Qualora le prestazioni richieste non siano previste dal nomenclatore tariffario, ovvero dal tariffario azienda- le della Struttura ricevente, quest’ultima procederà alla successiva defi- nizione delle tariffe anche attraverso l’analisi dei costi se necessario.
2. In caso di spostamento di pazienti/donatori ricoverati dalla struttura in- viante (U.O.C. Medicina Trasfusionale di AOUI Verona o l’U.O.C. Medicina Trasfusionale dell'ULSS n. 8) verso la struttura ricevente (ri- spettivamente l’U.O.C. Medicina Trasfusionale dell'ULSS n. 8 o
l’U.O.C. Medicina Trasfusionale di AOUI Verona), le Parti concordano che, trattandosi di nuovi ricoveri, il D.R.G. prodotto verrà corrisposto tramite l’ordinario flusso della mobilità sanitaria.
Art. 5 - Modalità di pagamento
1. La Struttura inviante provvede al pagamento entro 60 giorni dalla rice- zione della fattura e della necessaria documentazione amministrativa.
Art. 6- Trattamento dei dati
1. Le parti si impegnano ad osservare le disposizioni vigenti in materia di protezione dei dati personali (Regolamento UE 2016/679 e Dlgs 196/2003 così come modificato dal Dlgs. 101/2018, e Provvedimenti del Garante per la protezione dei dati personali).
2. Con riferimento alle attività di cui all’art. 1, comma 1, le parti conven- gono che la struttura sanitaria inviante (AOUI Verona o ULSS n. 8) in qualità di titolare del trattamento dei dati personali dei propri pazien- ti/donatori provvede alla nomina della struttura ricevente a responsabile del trattamento dei dati come previsto dall’art. 28 del Reg. UE n. 2016/679, come da atto allegato al presente accordo di cui costituisce parte integrante e sostanziale.
Con riferimento alle attività di cui all’art. 1, comma 2, le parti conven- gono che ciascuna Azienda è titolare del trattamento dei dati dei pa- zienti/donatori cui eroga attività assistenziale in luogo dell’altra.
Art. 7 - Codice di comportamento
1. AOUI Verona e l’ULSS n. 8 dichiarano di aver preso visione del con- tenuto del Codice di Comportamento ai sensi del D.P.R. n. 62/2013, nonché del Piano triennale di prevenzione della Corruzione di cui alla
L. n. 190/2012, disponibili presso i corrispondenti uffici e siti aziendali.
2. AOUI Verona e l’ULSS n. 8 si impegnano ad adottare, nello svolgi- mento delle funzioni connesse all’accordo in oggetto, comportamenti conformi alle previsioni contenute in quanto sopra illustrato e sono consapevoli che la violazione delle disposizioni normative contenute nei documenti su indicati nonché nelle normative citate, costituirà ina- dempimento contrattuale e sarà sanzionata in misura proporzionale alla gravità sino alla risoluzione del presente accordo.
Art. 8 Aspetti assicurativi e di sicurezza
1. AOUI Verona e l’X.X.XX. n. 8, per l’esecuzione dell’attività oggetto del presente accordo si avvarranno dell’opera del personale dell’U.O.C. di Medicina Trasfusionale rispondendo per tale attività ai sensi e per gli effetti degli articoli 2232 e 1228 del Codice Civile. AOUI Verona e l’X.X.XX. n. 8, si impegnano, ciascuna per quanto di specifica competenza, al rispetto degli obblighi di cui al Testo Unico per la Salute e la Sicurezza nei luoghi di lavoro, D.Lgs. n. 81/2008 e s.mi..
Art. 9 - Validità
1. Il presente accordo decorre dalla data di sottoscrizione delle parti e dovrà essere rivisto regolarmente, almeno ogni due anni, in conformi- tà a quanto previsto dagli standards JACIE.
Art. 10 - Registrazione e imposta di bollo
1. Le parti convengono che il presente accordo sarà sottoposta a registra- zione solo in caso d’uso, ai sensi dell’art. 5, comma 2, del DPR 26.04.86, n. 131.
2. Il presente accordo è altresì soggetto all’imposta di bollo ai sensi dell’art. 2 - TARIFFA – parte prima – del DPR 26.10.1972, n. 642, così come disposto dalla Risoluzione 86/E del 13.03.2002 dell’Agenzia del- le Entrate, con onere a carico di AOUI Verona (Autorizzazione Agen- zia delle Entrate di Verona 2 n. 101497 del 17/12/2009).
Art. 11 - Varie
1. Eventuali modifiche, integrazioni al presente accordo dovranno essere condivise e formalizzate con atto scritto.
Art. 12 - Clausole vessatorie
1. Ai sensi e per gli effetti di cui agli artt. 1322 – 1341 e 1342 c.c., l’ULSS n. 8 nella persona del suo legale rappresentante dichiara di aver preso visione e di approvare specificatamente il disposto di cui agli ar- ticoli 5, 7 8 e 10 dell’accordo.
Letto, confermato e sottoscritto digitalmente.
Verona,
per l’Azienda Ospedaliera Universitaria Integrata Verona
IL DIRETTORE GENERALE
per l’Azienda X.X.XX. n. 8 “Berica”
IL DIRETTORE GENERALE
(dott. Xxxxxxxx Xxxxx Xxxxx)
(dott.ssa Xxxxx Xxxxxxxxxx Xxxxxxxx)
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
All. 1
ACCORDO PER LA NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679
TRA
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA (AOUI) VERONA, con sede legale
in Verona, Xxxxxxxx X. Xxxxxxx 0, X.X. x X. XXX 00000000000, in qualità di Titolare del trattamento ai sensi del Regolamento UE 2016/679;
E
AZIENDA U.L.S.S. N. 8 BERICA (ULSS 8), con sede in Vicenza, Via X. Xxxxxxx n. 37, Codice Fiscale-Partita IVA 02441500242, in qualità di Responsabile del trattamento ai sensi del Regolamento UE 2016/679;
Premesso che
- ULSS 8 e AOUI Verona hanno stipulato una convenzione che prevede che entrambe le strutture sanitarie, in caso di emergenza che pregiudichi lo svolgimento di attività indifferibili attinenti al programma trapianto di Cellule Staminali Emopoietiche (CSE), garantiscono l’effettuazione delle seguenti prestazioni:
o raccolta di CSE/linfociti da aferesi;
o processazione midollo osseo;
o manipolazione minima CSE;
o criopreservazione CSE/linfociti;
o stoccaggio.
- ai fini dell’esecuzione di detta convenzione ULSS 8 dovrà effettuare operazioni di trattamento di dati personali dei pazienti/donatori per conto di AOUI Verona;
- AOUI Verona svolge il ruolo di Titolare del trattamento in relazione ai dati personali dei propri pazienti/donatori;
- ULSS 8 è in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei dati personali, le misure di sicurezza da adottare al fine di garantire la loro riservatezza, la completezza e l’integrità, nonché diretta e completa conoscenza delle norme che disciplinano la protezione degli stessi;
- con il presente atto – che costituisce parte integrante e sostanziale della convenzione di cui sopra – AOUI Verona, in qualità di Titolare del trattamento, nomina ULSS 8, che accetta, Responsabile del trattamento, ai sensi di quanto disposto dall’art. 28 del GDPR;
- con la sottoscrizione del presente documento le Parti intendono regolare i reciproci rapporti in relazione al trattamento dei dati personali effettuato da ULSS 8 per conto di AOUI Verona;
- tale nomina si intende sospensivamente condizionata al verificarsi di uno stato di emergenza che pregiudichi lo svolgimento delle attività indifferibili attinenti al Programma Trapianto di CSE da parte di AOUI Verona, e che determini dunque l’esecuzione delle prestazioni dedotte in Convenzione.
Tutto ciò premesso, alla luce di quanto precede, le Parti convengono e stipulano quanto segue:
Definizioni:
Fatta eccezione per i termini e le espressioni altrimenti definiti nel presente Accordo, i termini e le espressioni contrassegnate da iniziali maiuscole avranno il significato di seguito specificato: “Autorità di Controllo” indica il Garante per la protezione dei dati
personali.
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
“Accordo di trasferimento dei dati” indica ogni accordo stipulato tra le parti e
finalizzato al trasferimento legittimo dei dati personali.
“Categorie Particolari di Dati” indica ogni dato personale idoneo a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
“Comitato Europeo per la protezione dei dati” indica l’organismo dell’Unione Europea dotato
di personalità giuridica istituito ai sensi degli artt. 68 e ss. del GDPR.
“Convenzione” indica l’accordo in essere tra le Parti.
“Dato/i Personale/i” qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Dati Giudiziari” indica ogni dato personale relativo a condanne penali e ai reati o a connesse misure di sicurezza ovvero relativo a provvedimenti giudiziari, sanzioni penali, o carichi pendenti, o la qualità dell’imputato o indagato ai sensi degli articoli 60 e 61 del Codice di Procedura Penale.
“Gruppo di Lavoro Articolo 29” indica il Gruppo di lavoro istituito in virtù
dell’articolo 29 della direttiva 95/46/CE.
“Autorizzati” le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile e che agiscono sotto l’autorità del Titolare o del Responsabile ai sensi dell’art. 29 del GDPR.
“Interessato” la persona fisica identificata o identificabile cui si riferiscono i dati personali.
“SubResponsabile/Sub-Responsabile” indica qualsiasi soggetto, persona fisica o
giuridica, a cui il Responsabile ricorra per l’esecuzione di specifiche attività di trattamento per conto del Titolare a cui sono imposti gli stessi obblighi del Responsabile.
“Terze Parti o Terzi” indica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non siano l’interessato, il Titolare, il Responsabile e gli incaricati autorizzati al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
“Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
1. Nomina del Responsabile del trattamento
Con la sottoscrizione del presente atto, che forma parte integrante della Convenzione, AOUI Verona nomina ULSS 8 quale Responsabile del trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui dati personali, di cui entra in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dalla Convenzione.
Il Responsabile, con la sottoscrizione del presente accordo, accetta tutti i termini sotto indicati, conferma la diretta e approfondita conoscenza degli obblighi che si assume e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.
2. Natura e Finalità del trattamento
Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto convenzionale con il Titolare e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. In particolare, i dati saranno trattati dal Responsabile per attività di: attività indifferibili attinenti al programma trapianto di Cellule Staminali Emopoietiche (CSE), ed in particolare:
o raccolta di CSE/linfociti da aferesi;
o processazione midollo osseo;
o manipolazione minima CSE;
o criopreservazione CSE/linfociti;
o stoccaggio.
3. Tipologia di dati personali e Categorie di interessati
Il trattamento dei dati personali, in riferimento al Servizio affidato, riguarda i dati, anche particolari, siccome relativi alla salute, dei pazienti/donatori.
4. Diritti del Titolare
AUOI Verona ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati.
La stessa AOUI Verona, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile, come indicato al punto 13.
5. Obblighi del Responsabile
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
Nell’adempimento delle proprie obbligazioni il Responsabile e i suoi dipendenti si obbligano a rispettare il GDPR e ogni altra istruzione impartita dal Titolare, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto.
Il Responsabile si impegna ad effettuare il trattamento soltanto dei dati personali che siano necessari e/o strumentali all’esecuzione della Convenzione.
Il Responsabile si impegna a cooperare con il Titolare in qualsiasi momento al fine di assicurare il corretto trattamento dei dati personali e si impegna a fornire allo stesso Titolare tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultimo per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata a mezzo posta elettronica.
Il Responsabile si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il trattamento dei dati personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme.
In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati.
6. Misure tecniche ed organizzative e violazioni dei dati personali
Il Responsabile si impegna ad adottare le misure tecniche ed organizzative adeguate, previste dalla normativa italiana ed europea in materia di protezione dei dati personali, cosi come ogni altra previsione derivante dall’Autorità di Controllo, o dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati.
Il Responsabile, in considerazione della conoscenza maturata quale conseguenza dei progressi tecnici e tecnologici, della natura dei dati personali e delle caratteristiche delle operazioni di trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche ed organizzative adeguate e dovrà assicurare che le misure di sicurezza progettate ed implementate siano in grado di ridurre il rischio di danni volontari o accidentali, perdita di dati, accessi non autorizzati ai dati, trattamenti non autorizzati o trattamenti non conformi agli scopi di cui alla Convenzione.
In particolare, il Responsabile si obbliga a:
6.1.1 adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati;
6.1.2 fornire al Titolare, su richiesta, una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al trattamento dei dati personali;
6.1.3 istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogniqualvolta richiesto;
6.1.4 comunicare al Titolare il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati;
6.1.5 assistere lo stesso Xxxxxxxx, relativamente ai dati personali oggetto di trattamento, nel garantire – ove applicabili - il rispetto degli obblighi relativi:
(i) alla sicurezza del trattamento;
(ii) alla notifica di una violazione dei dati personali all'Autorità di controllo ai sensi dell’art. 33 del GDPR;
(iii) alla comunicazione di una violazione dei dati personali all'interessato ai sensi dell’art. 34 del GDPR;
(iv) alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR;
(v) alla consultazione preventiva ai sensi dell’art. 36 del GDPR.
7. Violazioni dei dati personali 14
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto del Titolare (c.d. data breach), il Responsabile deve:
- informare il Titolare, tempestivamente e in ogni caso al massimo entro e non oltre 24 ore dalla scoperta dell’evento, di ogni violazione dei dati personali trattati per conto dello stesso che presenti un rischio per i diritti e le libertà delle persone fisiche e fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sul Titolare e sugli interessati coinvolti e le misure adottate per mitigare i rischi;
- fornire assistenza al Titolare per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti.
Il Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa.
8. Documentazione Privacy
Il Responsabile si impegna ad adottare la documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea e le relative procedure concernenti le adeguate misure tecniche e organizzative.
In particolare, il Responsabile si impegna a fornire agli Interessati tutte le informazioni relative al trattamento dei dati personali, nonché a raccogliere il relativo consenso in assenza di eventuali altri presupposti giuridici per il relativo trattamento, in conformità al GDPR.
9. Istanze degli Interessati
Tenendo conto della natura del trattamento, il Responsabile si obbliga ad assistere e supportare il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare riscontro alle richieste per l'esercizio dei diritti dell'interessato (negli ambiti e nel contesto del ruolo ricoperto e in cui opera il Responsabile) nel rispetto dei termini previsti dall’art. 12 del GDPR.
In particolare, qualora il Responsabile riceva richieste provenienti dagli Interessati finalizzate all’esercizio dei propri diritti, esso dovrà:
- darne tempestiva comunicazione scritta al Titolare a mezzo posta elettronica certificata, allegando copia delle richieste ricevute;
- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni aziendali designate dal Titolare per gestire le relazioni con gli Interessati;
- assistere e supportare il Titolare del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti degli Interessati (negli ambiti e nel contesto del ruolo ricoperto e in cui opera il Responsabile).
10. Persone autorizzate
Il Responsabile si impegna a identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati di titolarità di AOUI Verona, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione. Allo stesso tempo, il Responsabile si impegna a fornire agli Autorizzati le dovute istruzioni relativamente alle operazioni ed alle modalità di trattamento dei dati personali.
15
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
11. Sub-Responsabili e Terze Parti
Il Responsabile può chiedere di comunicare o rendere disponibili i dati personali trattati per conto del Titolare ad uno o più “sub-Responsabili”, ai quali affidare una o più specifiche attività di trattamento oggetto della Convenzione: il tal caso, la nomina dovrà essere approvata per iscritto dal Titolare prima dell’affidamento dell’attività di trattamento, a seguito di specifica richiesta formale. Al fine di dare attuazione alle previsioni del Regolamento UE 2016/679, il Responsabile si obbliga a far assumere ai sub-Responsabili gli stessi obblighi in materia protezione dei dati personali cui si è impegnato quale Responsabile del trattamento con il presente atto, mediante sottoscrizione di appositi atti giuridici o contratti.
Il Responsabile si obbliga, in caso di autorizzazione scritta generale, ad informare il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri sub-Responsabili del trattamento, dando così al Titolare del trattamento l'opportunità di opporsi a tali modifiche.
Il Responsabile è tenuto ad impartire ai sub-Responsabili precise istruzioni relativamente al trattamento oggetto della Convenzione e ad assicurarsi che offrano le medesime garanzie in materia di misure tecniche e organizzative previste dal GDPR.
I Sub-Responsabili potranno trattare i dati personali nella misura in cui tale trattamento sia strettamente necessario per l’esecuzione della Convenzione che il Responsabile ha stipulato con il Titolare ed in ogni caso nel rispetto del presente atto.
Il Responsabile risponderà nei confronti del Titolare qualora gli eventuali collaboratori esterni e sub-Responsabili del trattamento omettano di adempiere ai propri obblighi in materia di protezione dei dati, e dichiara espressamente e garantisce di assumersene la completa responsabilità.
Il Responsabile si impegna a non comunicare, trasferire o condividere, i dati personali del Titolare a Terze Parti, salvo qualora legislativamente richiesto ed informandone preventivamente la stessa.
12. Comunicazione delle richieste di accesso, perdite o danno
Il Responsabile è tenuto a comunicare immediatamente al Titolare ed a fornire alla stessa tutta la necessaria assistenza:
(a)in caso di richiesta di accesso ai dati personali effettuata da un Interessato in conformità al precedente articolo 9, da una autorità di controllo, da una autorità indipendente o dall’autorità giudiziaria;
(b)qualora venga a conoscenza di una delle seguenti circostanze, in conformità a quanto previsto nel precedente articolo 7:
(i) perdita, danneggiamento o distruzione dei dati personali;
(ii) accesso ai dati personali da parte di Terze Parti, fuori dai casi espressamente previsti dal Contratto;
(iii) qualunque circostanza o evento che possa determinare potenzialmente una violazione della normativa italiana ed europea in materia di protezione dei dati personali.
13. Controlli e attività di audit
Il Responsabile si impegna a consentire al Titolare la verifica del rispetto del presente atto di nomina, a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di trattamento e a tal fine potrà organizzare corsi di formazione.
Qualora venga rilevato che un’istruzione impartita dal Titolare vìoli le disposizioni normative in materia di protezione dei dati personali, il Responsabile si obbliga ad informarne immediatamente il Titolare.
Il Responsabile inoltre riconosce al Titolare il diritto di effettuare controlli (audit) relativamente alle operazioni aventi ad oggetto il trattamento dei dati personali.
A tal fine, il Titolare potrà periodicamente sottoporre al Responsabile un questionario sul livello di sicurezza e conformità alla normativa in materia di protezione dei dati personali (che dovrà essere debitamente compilato e restituito) e ha il diritto di disporre - a propria cura e spese - verifiche a
16
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
campione o specifiche attività di audit o di rendicontazione in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile.
Anche per le finalità sopra esposte, il Responsabile è obbligato a mettere a disposizione in qualunque momento e su richiesta del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina ed è altresì tenuto a contribuire alle attività di revisione realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato, comprese le ispezioni.
I controlli saranno effettuati dal Titolare periodicamente ed in base a metodologie concordate tra le Parti.
14. Durata e cessazione del trattamento
La presente nomina ha la medesima durata ed efficacia della Convenzione e, pertanto, cesserà al momento del completo adempimento o dello scioglimento del vincolo contrattuale, qualunque ne sia il motivo. Il trattamento, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati del Responsabile in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato.
A seguito della cessazione del trattamento affidato al Responsabile o nei casi di cui al comma precedente, qualunque ne sia la causa, il Responsabile sarà tenuto, a scelta del Titolare e sulla base delle istruzioni dallo stesso impartite, a:
i. restituire al Titolare i dati personali trattati, oppure
ii. provvedere alla loro integrale distruzione (eventuali copie comprese),
salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.) o il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte del Responsabile, con modalità limitate e per il periodo di tempo a ciò strettamente necessario. In tal caso il Responsabile dovrà indicare al Titolare i motivi ed i criteri di conservazione dei dati.
15. Manleva e Responsabilità per violazione delle disposizioni
Il Responsabile, con l’accettazione della presente nomina, si impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, o altro onere che possa derivare da pretese, azioni o procedimenti avanzati da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei dati personali che sia imputabile a fatto, comportamento o omissione del Responsabile (o di suoi dipendenti e/o collaboratori), ivi incluse le eventuali sanzioni che dovessero essere applicate ai sensi del GDPR.
Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.
Ai sensi di quanto disposto dall’art. 82, paragrafo 5, del GDPR, il Titolare ha il diritto di reclamare dal Responsabile del trattamento il risarcimento del danno, pagato all’interessato o a terzi, per la parte corrispondente alla sua parte di responsabilità per il danno.
Fatti salvi gli articoli 82, 83, 84, del GDPR, in caso di violazione delle disposizioni contenute nel presente atto relativamente alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute o in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile del trattamento dei dati dal GDPR, il Responsabile sarà considerato quale Titolare del trattamento e ne risponderà personalmente e direttamente.
AZIENDA OSPEDALIERA UNIVERSITARIA INTEGRATA VERONA
(D.Lgs. n. 517/1999 - Art. 3 L.R. Veneto n. 18/2009)
Data
Il Titolare del trattamento
Per integrale accettazione
Il Responsabile del trattamento
Servizio Sanitario Nazionale - Regione Veneto
AZIENDA ULSS N. 8 BERICA
Viale X. Xxxxxxx n. 37 – 00000 XXXXXXX
COD. REGIONE 050–COD. U.L.SS.508 COD.FISC. E P.IVA 02441500242–Cod. iPA AUV
Tel. 0000 000000 - Fax 0000 000000 Mail xxxxxxxxxx@xxxxx0.xxxxxx.xx PEC xxxxxxxxxx.xxxxxxxx.xxxxx0@xxxxxxxxx.xx
Accordo per la nomina a
Responsabile Esterno del trattamento dei dati personali
ai sensi dell’articolo n. 28 del Regolamento UE 2016/679
L’Azienda X.X.XX. n. 8 Berica, con sede legale in Vicenza in viale Rodolfi n. 37, nella persona del suo Direttore Generale e legale rappresentante Xxxxx Xxxxxxxxxx Xxxxxxxx, in qualità di Titolare del trattamento dei dati personali, da essa operato ai sensi del Regolamento UE (GDPR) 2016/679;
Visto il vigente Regolamento Aziendale per la protezione dei dati personali (pubblicato sul sito internet aziendale) il quale stabilisce che “Nell’ambito della ULSS n. 8 Berica, sono individuati quali Responsabili “esterni” del trattamento dei dati personali, tutti i soggetti esterni (Enti, Cooperative, Ditte, Fornitori, etc...) che, per svolgere la propria attività sulla base di una convenzione o un contratto sottoscritto con l'ULSS, trattino dati di cui è titolare l'ULSS medesima e qualora siano in possesso dei requisiti previsti dalla normativa vigente (esperienza, capacità ed affidabilità)”;
Visti i rapporti convenzionali in essere tra l’Azienda ULSS n. 8 Berica e il seguente Ente, nei termini sotto indicati:
Denominazione Ente | Sede | Servizio fornito o attività svolta (descrivere sinteticamente) | |
Azienda Ospedaliera Universitaria Integrata Verona | Verona | P.le Stefani, 1 | In caso di emergenza che pregiudichi lo svolgimento di attività indifferibili attinenti al programma trapianto di Cellule Staminali Emopoietiche (CSE): Raccolta di CSE/linfociti da aferesi; Processazione midollo osseo; manipolazione minima CSE; criopreservazione CSE/linfociti; stoccaggio CSE. |
NOMINA
L’Ente richiamato in premessa Responsabile esterno del trattamento dei dati personali
effettuato nell’ambito dello svolgimento dell’attività sopra descritta,
Tale incarico, in ottemperanza all’articolo 28 del GDPR, dovrà essere espletato in conformità alle seguenti prescrizioni ed istruzioni impartite dal Titolare:
⮚ trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della vigente normativa (nazionale ed europea) in materia di privacy;
⮚ trattare i dati personali, anche di natura sensibile e giudiziaria dei pazienti o di altri interessati (c.d. “particolari categorie di dati” ai sensi dell’art. 9 del GDPR) esclusivamente per le finalità previste dal contratto o dalla convenzione stipulata con la ULSS n. 8 Berica e ottemperando, in ogni fase dell’attività, ai principi di necessità, pertinenza e non eccedenza rispetto alle finalità per le quali i dati sono trattati (articolo 5 del GDPR);
⮚ Attuare i principi e le misure in materia di sicurezza imposte dalla normativa vigente in materia di privacy, idonei a prevenire, ridurre e/o evitare operazioni di comunicazione o diffusione dei dati non consentite, il rischio di distruzione o perdita, anche accidentale, il rischio di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
⮚ adottare, secondo la propria organizzazione interna, misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nei termini di cui all’articolo 32 del Regolamento Europeo 2016/679 rubricato “Sicurezza del trattamento”;
⮚ nominare, al Suo interno, i soggetti autorizzati / incaricati del trattamento, impartendo loro tutte le necessarie istruzioni finalizzate a garantire, da parte degli stessi, un adeguato obbligo legale di riservatezza;
⮚ specificare, su richiesta del Titolare, i luoghi dove fisicamente avviene il trattamento dei dati e su quali supporti e le misure minime di sicurezza adottate per garantire la riservatezza e la protezione dei dati personali trattati.
⮚ assistere, per quanto di competenza e nella misura in cui ciò sia possibile, il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento Europeo (sicurezza del trattamento dei dati personali, notifica di una violazione dei dati personali all'autorità di controllo, comunicazione di una violazione dei dati personali all'interessato), tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
⮚ mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al già citato articolo 28 del Regolamento Europeo e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato.
⮚ consentire al Titolare di disporre, a propria cura e spese, eventuali verifiche a campione o specifiche attività di audit in ambito di protezione dei dati personali e sicurezza, avvalendosi di personale incaricato a tale scopo, presso le sedi del Responsabile medesimo.
⮚ comunicare all’Azienda il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati (RPD), se designato ai sensi degli artt. 37 e ss. del GDPR;
⮚ in caso di violazione dei dati personali (Data Breach): informare tempestivamente il Titolare e fornirgli assistenza per far fronte alle violazioni e attuare ogni conseguente azione prevista dalla normativa nazionale ed europea vigente in materia;
Durata e cessazione del trattamento
La presente nomina ha la medesima durata ed efficacia della convenzione stipulata con l’ULSS
n. 8 nei termini in premessa menzionati e, pertanto, cesserà al momento dello scioglimento del vincolo contrattuale. Il trattamento, pertanto, deve avere una durata non superiore a quella
necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati del Responsabile in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato.
A seguito della cessazione del trattamento affidato al Responsabile o nei casi di cui al comma precedente, qualsiasi ne sia la causa, il Responsabile sarà tenuto, a scelta del Titolare e sulla base delle istruzioni dallo stesso impartite, a restituire al Titolare i dati personali trattati, oppure a provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.) o il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte del Responsabile, con modalità limitate e per il periodo di tempo a ciò strettamente necessario.
Responsabilità per violazione del presente accordo
Il Responsabile, con l’accettazione della presente nomina, si impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, o altro onere che possa derivare da pretese, azioni o procedimenti avanzati da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei dati personali che sia imputabile a fatto, comportamento o omissione del Responsabile (o di suoi dipendenti e/o collaboratori), ivi incluse le eventuali sanzioni che dovessero essere applicate ai sensi del GDPR.
Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.
Vicenza,
Il Titolare
(dr.ssa Xxxxx Xxxxxxxxxx Xxxxxxxx)
per accettazione
Il Responsabile Esterno
(dr. Xxxxxxxx Xxxxx Xxxxx)
***