ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
Tra
con sede in , via , ,P.IVA in persona del proprio legale rappresentate, (di seguito, il “Cliente”),
e
CGM Pharmaone S.r.l., società con unico socio,, con sede in Xxxxxx, Xxxxx Xxxxxxxx 000 C/D, P.IVA 01494710039, soggetta a direzione e coordinamento di CompuGroup Medical Italia Holding S.r.l., in persona del suo Consigliere Delegato Xxxxxxxxxx Xxxxxx (di seguito, il “Fornitore”)
(di seguito, collettivamente, definite le “Parti”)
PREMESSO CHE
a) tra il Fornitore ed il Cliente è in essere un contratto (di seguito, “Contratto”) avente ad oggetto l’erogazione, da parte del Fornitore stesso, dei servizi di aggiornamento e assistenza al sistema informativo gestionale, nonché eventuali forniture di materiali hardware (di seguito:“Servizi”);
b) lo svolgimento dei suddetti Servizi da parte del Fornitore comporta il trattamento, da parte di quest’ultimo, per conto del Cliente, dei dati personali di interessati di cui il Cliente stesso è Titolare (di seguito: “Dati Personali”), meglio indicati in Allegato 1;
c) il Fornitore dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto misure tecniche e organizzative adeguate atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
d) con il presente atto di designazione, le Parti intendono regolare i trattamenti dei Dati Personali da parte del Fornitore ai sensi dell’art. 28.3 del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento Generale sulla Protezione dei Dati Personali, entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018 (di seguito, “GDPR” o “Regolamento”);
e) il Cliente ed il Fornitore sono qualificati anche, nel prosieguo, rispettivamente, quali Titolare e Responsabile.
Tutto ciò premesso (e costituendo le premesse parte integrante e sostanziale del presente atto di designazione), fra le Parti si conviene e si stipula quanto segue
1. OGGETTO
1.1 Con il presente atto, il Fornitore è nominato dal Cliente Responsabile del trattamento dei Dati Personali
connesso all’erogazione dei Servizi.
1.2 Resta inteso che il Cliente, quale Titolare del trattamento, è l’unico responsabile della correttezza e della legittimità dei Dati Personali acquisiti e raccolti ed è tenuto ad adempiere a tutti gli obblighi di cui al GDPR gravanti sul Titolare.
2. Obblighi del responsabile
Il Fornitore è tenuto a trattare i Dati Personali solo ed esclusivamente ai fini dell’esecuzione dei Servizi, nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali, nonché delle ragionevoli istruzioni del Titolare riportate nei successivi articoli e di ogni altra indicazione scritta che potrà essergli dallo stesso successivamente fornita.
3. Misure di sicurezza
3.1 Il Responsabile, previa effettuazione dell’analisi dei rischi (e tenendo conto, in particolare, dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, ai Dati Personali trasmessi, conservati o comunque trattati), si impegna ad adottare e a mantenere misure tecniche ed organizzative adeguate per proteggere la sicurezza, la riservatezza e l’integrità dei Dati Personali, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
3.2 Fermo restando quanto sopra, il Responsabile si obbliga ad adottare, in particolare, le misure di sicurezza fisiche, logiche e organizzative di cui all’Allegato 2.
3.3 Eventuali evoluzioni e/o modifiche delle misure di sicurezza dovute a mutate esigenze del Cliente e/o a modifiche ed aggiornamenti della normativa in materia di protezione dei dati personali saranno adottate ed implementate dal Fornitore e/o suoi eventuali subappaltatori a onere e spese del Cliente e su espressa
richiesta ed indicazione da parte di quest’ultimo e anche sulla base della valutazione di impatto che sarà suo
onere condurre in qualità di Titolare del trattamento, se del caso con la collaborazione del Fornitore.
3.4 Il Responsabile si impegna, altresì, ad assistere il Cliente in relazione all’obbligo del Titolare di mettere in atto misure tecniche ed organizzative adeguate ai sensi dall’art. 32 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Fornitore. Il fornitore si riserva di quantificare e comunicare preliminarmente al Cliente l’eventuale impegno economico necessario per l’implementazione di servizi non inclusi nel Contratto.
4. VIOLAZIONI DI DATI PERSONALI (CD. “DATABREACH”)
Il Responsabile si impegna ad informare, senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, il Titolare (inviando una comunicazione a mezzo PEC) di ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al Titolare in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
5. VALUTAZIONE D’IMPATTO (CD. “DATA PROTECTON IMPACT ASSESSMENT”)
Il Responsabile s’impegna fin da ora a fornire al Titolare ogni elemento utile all’effettuazione, da parte di quest’ultimo, della valutazione di impatto sulla protezione dei dati, qualora il Titolare sia tenuto ad effettuarla ai sensi dell’art. 35 del Regolamento, nonché ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 del Regolamento stesso.
6. Soggetti autorizzati al trattamento
6.1 Fatto salvo quanto previsto all’articolo 11 che segue, il Responsabile garantisce che l’accesso ai Dati Personali sarà limitato ai soli propri dipendenti e collaboratori il cui accesso ai Dati Personali sia necessario per l’esecuzione dei Servizi.
6.2 Il Responsabile si impegna a fornire ai propri dipendenti e collaboratori deputati a trattare i Dati Personali di cui è Titolare il Cliente le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento,
vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività.
7. Istanze degli interessati
Il Responsabile si obbliga ad assistere il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, nell’adempimento dei propri obblighi di dar seguito ad eventuali istanze degli interessati di cui al capo III del GDPR.
8. Ulteriori obblighi
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei dati personali e/o delle istruzioni del Titolare di cui al presente atto di designazione e consente al Titolare del trattamento l’esercizio del potere di controllo e ispezione, prestando ogni collaborazione alle attività di audit effettuate dal Titolare stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente atto. Resta inteso che qualsiasi verifica condotta ai sensi del presente comma dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del Responsabile e fornendo a quest’ultimo un ragionevole preavviso. Il Responsabile si riserva di quantificare e comunicare preliminarmente al Cliente l’eventuale impegno economico necessario per permettere a quest’ultimo le suddette attività di audit.
Il Responsabile si impegna altresì a:
a) realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente atto di nomina;
b) informare prontamente il Titolare di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che risulti violata la normativa in materia di protezione dei dati personali, ovvero che il trattamento presenti rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato, nonché qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati.
9. Ulteriori responsabili
9.1 Il Responsabile è autorizzato sin da ora a ricorrere ad altri responsabili (di seguito, “Sub-responsabili”)
per l'esecuzione di specifiche attività di trattamento di Dati Personali per conto del Titolare, imponendo agli stessi, per iscritto, attraverso appositi accordi vincolanti, i medesimi obblighi in materia di protezione dei dati cui è soggetto il Responsabile in virtù del presente atto di designazione, in particolare in relazione agli obblighi in materia di sicurezza.
9.2 Il Responsabile si impegna espressamente ad informare di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori Subresponsabili il Titolare, che avrà il diritto di opporsi a tali modifiche, comunicando la propria opposizione per iscritto entro 10 giorni dalla notifica da parte del Responsabile. Il Responsabile non ricorrerà ai Subresponsabile nei cui confronti il Titolare abbia manifestato la propria opposizione. Resta inteso che, in mancanza di opposizione, la modifica si intenderà accettata.
9.2 Resta espressamente inteso che il Responsabile rimarrà direttamente responsabile nei confronti della Società in ordine alle azioni e alle omissioni dei propri Sub-responsabili.
10. Responsabilità
Il Fornitore sarà responsabile per i danni conseguenti a inadempimenti o inosservanze delle istruzioni di cui al presente atto o di quelle successive eventualmente trasmesse per iscritto dal Cliente, nei limiti della clausola sulla limitazione di responsabilità eventualmente contenuta nel Contratto.
Resta inteso che, laddove il Responsabile abbia adempiuto integralmente ai compiti assegnatigli in forza del presente atto ed alle obbligazioni del GDPR specificatamente dirette ai Responsabili, il Cliente risponderà comunque, dei danni cagionati dal trattamento effettuato in violazione di legge, se ingiustificatamente rifiuta di effettuare i necessari interventi segnalati dal Responsabile e/o di adottare le misure dallo stesso suggerite anche ai sensi del precedente art. 10.2, b).
11. DURATA
La presente designazione decorre dalla data in cui viene sottoscritta dalle Parti ed è valida fino alla cessazione per qualunque motivo del Contratto e/o, comunque, dei Servizi ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare, fermo restando che, anche successivamente alla cessazione del Contratto o dei Servizi o alla revoca, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
12. RESTITUZIONE E CANCELLAZIONE DEI DATI PERSONALI
Il Responsabile, all’atto della scadenza del Contratto e/o dei Servizi o, comunque, in caso di cessazione – per qualunque causa – dell’efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei Dati Personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del Titolare, all’immediata restituzione allo stesso dei Dati Personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta che presso lo stesso Responsabile non ne esiste alcuna copia.
In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.
13. Disposizioni finali
Per tutto quanto non previsto dal presente atto di designazione si rinvia alle disposizioni generali vigenti ed applicabili in materia protezione dei dati personali.
IL TITOLARE DEL TRATTAMENTO
(timbro e firma)
Luogo Data: / /
Per accettazione
IL RESPONSABILE DEL TRATTAMENTO
Xxxxxxxxxx Xxxxxx
AMBITO del TRATTAMENTO
Il presente allegato costituisce parte integrante della nomina a responsabile.
Categorie di interessati
• clienti e fornitori
• pazienti
• dipendenti
Tipo di Dati Personali oggetto di trattamento (indicare se dati comuni, categorie particolari, dati relativi a condanne penali e reati)
• dati comuni
• categorie particolari di dati personali (dati sanitari)
Natura e finalità del trattamento
• attività preliminari e/o ancillari all’erogazione dei Servizi (es. backup, importazione e download di
dati etc.);
• erogazione dei Servizi, on site e/o da remoto;
• eventuali servizi di hosting.
Durata del trattamento
• esecuzione del Contratto (cfr. artt. 11 e 12 dell’atto di designazione a responsabile del trattamento).
MISURE DI SICUREZZA
Per garantire la sicurezza dei dati, il Fornitore rivede regolarmente lo stato dell’arte delle tecnologie di sicurezza. Ciò include la determinazione di scenari di danno tipici, le esigenze di sicurezza e i livelli di sicurezza corrispondenti che ne derivano per diversi tipi di dati personali, raggruppati in categorie di possibili danni, nonché l’esecuzione di valutazioni del rischio.
Inoltre, vengono effettuati test di penetrazione dedicati per analizzare, esaminare e valutare regolarmente
l’efficacia di queste misure tecniche e organizzative che devono garantire la sicurezza del trattamento. I seguenti orientamenti disciplinano l’attuazione di misure tecniche e organizzative appropriate:
• Backup dei dati (servizi SaaS)
Per evitare perdite, i dati vengono regolarmente sottoposti a backup veicolati dalle procedure di sicurezza IT della capogruppo tedesca CGM SE.
• “Privacy by design”
Il Fornitore garantisce che i principi di protezione / privacy dei dati e di sicurezza dei dati siano presi in considerazione durante i processi di progettazione e sviluppo dei sistemi IT.
L’obiettivo è quello di prevenire un’attività di programmazione aggiuntiva, dispendiosa in termini di costi e di tempo, che sarebbe necessaria se i requisiti di privacy e sicurezza dei dati dovessero essere attuati dopo l’installazione dei sistemi IT. All’inizio del processo di sviluppo vengono prese in considerazione misure come la disattivazione di alcune funzionalità software, l’autenticazione o la crittografia.
• “Privacy by default”
I prodotti CGM sono dotati di impostazioni di fabbrica ottimizzate per la privacy dei dati, in modo che vengano trattati solo i dati personali necessari per il relativo scopo.
• Comunicazione via e-mail (Cliente / Fornitore)
Nel caso in cui si desideri contattare il Fornitore tramite e-mail, tenere presente che la privacy delle informazioni trasmesse non può essere garantita, poiché il contenuto delle e-mail può essere visualizzato anche da terzi. Si consiglia di contattare il Fornitore ogni volta che si desideri trasmettere informazioni riservate.
• Amministrazione da remoto
Dipendenti o subappaltatori del Fornitore potrebbero dover accedere ai dati dei pazienti o dei clienti
e occasionalmente ai dati del Cliente. Tale accesso è disciplinato dalle regole generali del Fornitore:
o l’accesso all’amministrazione da remoto è chiuso per impostazione predefinita e viene
autorizzato solo dal Cliente, il quale avrà la possibilità di monitorare gli interventi;
o le password per accedere ai sistemi IT del Cliente vengono rilasciate da quest’ultimo solo per le finalità di cui all’Allegato 1;
o gli interventi critici sono garantiti da una procedura “4-eyes” (principio del doppio controllo) con
ulteriore presenza dell’interessato;
o l’accesso all’amministrazione da remoto viene registrato nel sistema CRM. Vengono registrati i seguenti dati: persona responsabile, data e ora, durata, sistema di destinazione, breve descrizione dell’attività svolta e, in caso di interventi critici, i nominativi del personale qualificato aggiuntivo consultato nell’applicazione della procedura “4-eyes
o la registrazione delle sessioni di amministrazione da remoto è vietata, salvo i casi in cui sia necessaria per la risoluzione dei problemi segnalati dal cliente.
• Misure di sicurezza IT
Firewall o sicurezza perimetrale
Le reti informatiche del Fornitore sono protette da sistemi di sicurezza perimetrale (c.d. Firewall)
e da altre apparecchiature all’uopo destinate mantenute aggiornate allo stato dell’arte
Protezione Antivirus
Ogni postazione di lavoro del Fornitore è protetta da sistemi di sicurezza contro le minacce informatiche (antivirus) e ne è consentito l’utilizzo unicamente mediante appositi sistemi di autenticazione e profilazione.