CONVENZIONE TRA
CONVENZIONE TRA
L’AZIENDA USL DI MODENA E
ARCIGAY MODENA “XXXXXXX XXXXXXX” ODV PER
LA PROMOZIONE DELLA SALUTE E LA PREVENZIONE DELLE INFEZIONI SESSUALMENTE TRASSMISSIBILI CON PARTICOLARE RIGUARDO A HIV/AIDS
L'Azienda USL di Modena (di seguito denominata Azienda) con sede legale in Via San Xxxxxxxx del Cantone,
23 - Codice Fiscale e Partita Iva 02241850367, rappresentata dal Direttore Generale Xxxx. Xxxxxxx Xxxxxxxxx, nominato con Delibera di Giunta Regionale n. 736 del 13/05/2019 nato a Cologno Monzese (MI) il 26/12/1954 e domiciliato per la carica presso la sede dell’Azienda;
E
L’Ente del Terzo Settore Arcigay Modena “Xxxxxxx Xxxxxxx” ODV (di seguito denominato ETS) con sede in Xxxxxx (XX), xxxxx XX Xxxxxxxx, 00/X, Codice Fiscale 94090650360, rappresentata dal Sig./ra - Dott./ssa Xxxxxxxxx Xxxxxx, nata/o a Pavullo nel Frignano (MO) il 16/05/1981 e domiciliata/o per la carica presso la sede dell’ETS, il quale interviene ed agisce nel presente atto nella sua veste di legale rappresentante
PREMESSO CHE
• gli ETS possono accedere al convenzionamento con le strutture pubbliche secondo le previsioni del Codice del Terzo Settore, di cui al D. Lgs. 3 luglio 2017 n. 117 (di seguito CTS), nonché della vigente disciplina regionale;
• con delibera dell’Azienda USL di Modena n. 90 del 23/03/2021 è stato adottato il “Regolamento in materia di rapporti fra l’Azienda USL di Modena e gli Enti del Terzo Settore” (di seguito Regolamento), che disciplina le modalità di accesso degli Enti del Terzo Settore (ETS) a rapporti di convenzionamento con l’Azienda;
• l’ETS è iscritto nell’Elenco aziendale degli ETS qualificati a collaborare tramite convenzioni con l’AUSL di Modena (delibera n. 199 del 16/06/2021);
• l’ETS ha condiviso le conclusioni operative esito del tavolo di co-progettazione dedicato all’infezione HIV/AIDS svoltosi in data 13/10/2021;
• l’Azienda, a seguito dello svolgimento del suddetto tavolo, ha individuato la rispondenza tra le attività di Arcigay Modena “Xxxxxxx Xxxxxxx” ODV, i bisogni della popolazione target e gli obiettivi generali individuati a livello Aziendale valutando pertanto di procedere con la stipula della presente convenzione;
• l’art. 14, comma 7 del D. Lgs 502/92 stabilisce che debba essere “favorita la presenza e l'attività, all'interno delle strutture sanitarie, degli organismi di volontariato e di tutela dei diritti […];
• la Legge delega n. 106/2016, all’articolo 5, ha previsto la necessità di “armonizzazione e coordinamento delle diverse discipline vigenti in materia di volontariato e di promozione sociale, valorizzando i principi di gratuità, democraticità e partecipazione e riconoscendo e favorendo, all’interno del Terzo settore, le tutele dello status di volontariato e la specificità delle organizzazioni di volontariato di cui alla Legge 11 agosto1991, n. 266 e di quelle operanti nella protezione civile”;
• la Regione Xxxxxx-Romagna ha approvato nel dicembre 2021 con la delibera n.2144 del 20/12/2021 il Piano Regionale della Prevenzione 2021-2025, nell’ambito del Piano Nazionale della Prevenzione e che la Regione;
• la Regione Xxxxxx-Romagna ha approvato il 5.12.2018 la Legge Regionale N. 19 “Promozione della salute, del benessere della persona e della comunità e prevenzione primaria”;
• la Regione Xxxxxx-Romagna approva annualmente specifici finanziamenti annuali della Legge Regionale 19/2018, di cui l’ultimo il 11/10/2021 con la Delibera Numero 1597 “Assegnazione e concessione di finanziamenti alle Aziende USL regionali per la promozione della salute, del benessere della persona e della comunità e prevenzione primaria, in attuazione dell'Art. 27, comma 1, della Legge Regionale N. 19 del 5.12.2018 - C.U.P. N. E49J21014020002.”.
Tutto ciò premesso si conviene e si stipula quanto segue:
Art. 1 - Premessa
Le premesse formano parte integrante e sostanziale della presente Convenzione.
La stipula della presente Convenzione impegna l’ETS all’osservanza del CTS, del Regolamento aziendale, del Codice di Comportamento dell’Azienda e di quanto indicato nell’Avviso Pubblico richiamato, pubblicati sul sito Internet dell’Azienda (xxxxx://xxx.xxxx.xx.xx/xxxxx-xxxxxxx).
Art. 2 - Oggetto
La presente convenzione si inserisce nell’ambito delle conclusioni operative condivise nel tavolo di co- progettazione e costituisce risorsa per il raggiungimento degli obbiettivi di seguito elencati, peraltro strettamente collegati alle attività di implementazione del Piano Regionale della Prevenzione 2021-2025 e della Legge Regionale sulla promozione della salute e prevenzione primaria 19/2018:
1) contribuire a promuovere la salute nella popolazione modenese;
2) promuovere la salute sessuale della popolazione target con specifico riferimento alla prevenzione di HIV/AIDS e alle altre infezioni sessualmente trasmissibili;
3) ridurre il numero di nuove diagnosi di infezioni sessualmente correlate attraverso il potenziamento dell’attività di testing e la diffusione di informazioni rispetto a prevenzione e sicurezza;
4) facilitare e promuovere l’accesso ai percorsi di testing, diagnosi ed eventuale presa in carico dei pazienti affetti da IST;
ART.3 - Impegni dell’ETS
L’ETS si impegna a svolgere le seguenti attività:
1) Distribuzione gratuita presso la sede dell’associazione e durante le iniziative pubbliche di preservativi maschili e femminili, lubrificanti, dental dam e materiale informativo su HIV/AIDS, IST e salute sessuale in generale;
2) Servizio di COMMUNITY-BASED VOLUNTARY COUNSELLING AND TESTING (CBVCT) attraverso il quale vengono offerti test rapidi per l'HIV, l'HCV e la Sifilide in maniera completamente anonima e gratuita. I test sono eseguiti da medici adeguatamente formati sull'HIV e sulle IST, affiancati da "peer" volontari a bordo di un'ambulanza o di un camper al fine di poter raggiungere i luoghi dove si concentrano le popolazioni chiave;
3) Organizzazione dei Test Days HIV in occasione di eventi pubblici;
4) Raccordo con il Servizio di Malattie Infettive dell'AOU Policlinico di Modena per la presa in carico delle persone eventualmente reattive ai test di cui ai punti 2 e 3 come da protocolli interaziendali;
5) Organizzazione di attività di formazione rivolte alla popolazione target e di sensibilizzazione rivolte alla popolazione generale con il coinvolgimento di personale sanitario e “peer”;
6) Collaborazione con l’Azienda USL per la produzione e la diffusione, anche sui Social Media, di materiale informativo e di promozione della salute;
Al fine di garantire lo svolgimento dell’attività in modo continuativo, l’ETS si impegna a mettere a disposizione un numero di Volontari adeguato ad assicurare con continuità le attività previste nel progetto e disciplinate dalla presente Convenzione. Nei limiti previsti dal CTS (articoli 33 e. 36) occorrenti a qualificare o specializzare l'attività svolta, l’ETS potrà avvalersi di propri lavoratori dipendenti, autonomi o di altra natura;
Gli ETS si impegnano a fornire adeguata formazione e aggiornamento continuo ai volontari impegnati nello svolgimento delle attività oggetto della presente convenzione, secondo le modalità da concordare con l’Azienda, nonché alla formazione e informazione obbligatoria in materia di salute e sicurezza sul lavoro base al D. Lgs 81/2008, in quanto applicabile e compatibile.
Art. 4 - Impegni dell’Azienda
L’Azienda si impegna:
• a diffondere ed illustrare le finalità e le attività della presente convenzione tra i propri operatori e verso il target di riferimento mediante gli operatori stessi;
• assicurare il riconoscimento del ruolo assegnato ai volontari medesimi;
• facilitare l’attività dell’ETS e rendere agevole l’accesso dei volontari/altri soggetti afferenti all’ETS, ove previsto;
• si impegna inoltre affinché i servizi di rispettiva competenza si realizzino nelle condizioni di maggior efficienza, nella fattiva reciproca collaborazione tra volontari/altri soggetti dell’ETS ed operatori dell’Azienda, nell’ambito delle specifiche competenze e nella salvaguardia della scrupolosa osservanza delle norme igieniche e comportamentali e del rispetto della privacy.
Art. 5 – Svolgimento, coordinamento e programmazione dell’attività di volontariato
I referenti della convenzione individuati, rispettivamente, come referente aziendale, il Direttore del servizio aziendale Rapporti con l’esterno e Comunicazione, il Xxxx. Xxxxxxx Xxxxxxxx, come referente coordinatore dell’ETS nella persona di Xxxxxxxxx Xxxxxx, presidente e rappresentante legale di Arcigay Modena “Xxxxxxx Xxxxxxx” (ODV) concordano le modalità e i tempi per lo svolgimento dell’attività e
predispongono il programma operativo per la durata della Convenzione, restando in capo al referente dell’ETS il compito di coordinare l’opera dei Volontari, ai sensi dell’art. 6 della L. R. n. 12/2005;
I Volontari/altri soggetti afferenti all’ETS impegnati presso le strutture dell’Azienda, o altri setting di attività, sono tenuti:
− a rispettare le disposizioni e i protocolli di sicurezza ivi in uso, illustrati dal referente coordinatore dell’ETS, dal referente aziendale o dal Responsabile/coordinatore della U.O/Servizio/struttura di riferimento;
− ad attenersi allo svolgimento esclusivo delle attività oggetto della presente convenzione, tenendo un comportamento improntato alla massima educazione e correttezza, sia nei confronti degli assistiti, nel rispetto dei loro diritti e dignità, che degli operatori aziendali;
− ad utilizzare un abbigliamento consono al luogo presso il quale opera e funzionale all’attività che presta, con tesserino di riconoscimento ben visibile, curando l’igiene personale ed in particolare la disinfezione delle mani, ed indossando i dispositivi individuali di protezione prescritti dal tipo di attività;
La presenza dei Volontari presso le strutture dell'Azienda è accertata mediante l’apposito Registro di Entrata/Uscita, ove il Volontario deve indicare la data, il cognome, il nome, l'ora di entrata e di uscita dalla struttura e apporre la propria firma; il registro, disponibile presso la struttura stessa, è posto sotto la responsabilità dei Volontari e sempre accessibile per le verifiche da parte dell'Azienda;
Nel periodo di validità della Convenzione, l'ETS invia tempestivamente al referente di progetto aziendale l’elenco aggiornato dei volontari impegnati nelle attività definite dalla presente convenzione e provvede al conseguente rilascio dei cartellini di riconoscimento ai Volontari recante il nome dell'ETS e la dicitura “Volontario”, nonché la fotografia e gli estremi di riconoscimento del Volontario;
In corso d’opera potrebbero verificarsi modifiche di carattere logistico-organizzativo, in virtù della variabilità connaturata alle esigenze e ai bisogni dei servizi interessati dalla collaborazione. Si prevede pertanto la possibilità di rimodulare l’attività dei volontari, qualora si ravvedesse la necessità di un adeguamento del progetto, una volta raccolta la disponibilità e concordati tali termini operativi con l’ETS;
In nessun caso le prestazioni dei volontari o degli altri soggetti afferenti all’ETS possono configurare rapporti di dipendenza o di subordinazione contrattuale o di lavoro autonomo con l’Azienda;
L’Ente vigila sull’osservanza, da parte dei Volontari/altri soggetti, delle prescrizioni del Regolamento e della presente convenzione, pena l’allontanamento del Volontario dalla struttura presso cui opera da parte del Coordinatore/Direttore della struttura e, nei casi più gravi di reiterata violazione, la risoluzione della presente Convenzione.
Art. 6 - Sicurezza
L’ETS garantisce la tutela della salute e della sicurezza dei Volontari e degli altri soggetto ad esso afferenti ai sensi di quanto previsto dal CTS e nel rispetto delle norme sulla Sicurezza nei luoghi di lavoro (D. Lgs. n. 81/2008) che l’ETS dichiara espressamente di conoscere ed applicare, compatibilmente con la propria natura giuridica e la propria organizzazione;
In particolare l’ETS si impegna a garantire:
− l’adozione di tutte le misure atte alla verifica della idoneità del volontario ai sensi del D.lgs 81/08 e, in particolare, l’idoneità al rischio biologico, ai fini dell’espletamento dell’attività;
− l'utilizzo di attrezzature di lavoro (eventuali) e personali (DPI) idonee e rispondenti ai requisiti minimi previsti dalla legislazione vigente;
− la possibilità di beneficiare di corsi di formazione specifici;
L’Azienda fornisce ai Volontari impegnati presso le proprie strutture e alle Associazioni di appartenenza, per il tramite del referente/Coordinatore/Direttore della struttura/U.O./Servizio, dettagliate informazioni sui rischi specifici esistenti nell'ambiente in cui i Volontari sono chiamati ad operare e sulle misure di prevenzione e di emergenza, adottate in relazione alla loro attività;
L’Azienda adotta le misure utili a ridurre al minimo i rischi di interferenze tra la prestazione dei Volontari/altri soggetti e le attività che si svolgono nell’ambito della medesima struttura, ai sensi dell’art. 3, comma 12-bis del D. Lgs. n. 81/2008.
ART. 7- Copertura e oneri assicurativi
L’ETS produce copia della polizza assicurativa contro gli infortuni e le malattie, nonché per la responsabilità civile verso i terzi, stipulata a favore dei Volontari/altri soggetti afferenti all’ETS che prestano attività presso le strutture dell’Azienda e nell’ambito del/i progetto/i oggetto di Convenzione, i cui estremi sono di seguito riportati:
INFORTUNI E MALATTIE: 00039031016685 Cattolica Assicurazioni; RCT: 00039032007504 Cattolica Assicurazioni;
Tali coperture assicurative sono parte integrante e sostanziale della presente Convenzione e gli oneri relativi sono a carico dell’Azienda (art. 18, comma 3, del CTS), che provvederà a rimborsarne il premio anticipato dall’ETS che non abbia percepito analoga provvidenza da parte della Regione o di altro Ente Pubblico. L’eventuale assicurazione per colpa grave non può essere rimborsata dall’Azienda.
ART. 8 – Rimborsi
L’Azienda si impegna a rimborsare all’ETS fino ad un massimo di Euro 10 mila annui per spese effettivamente sostenute per lo svolgimento delle attività oggetto della presente Convenzione, previa presentazione di documentata rendicontazione, fatture, ricevute fiscali e altra apposita documentazione giustificativa, da produrre alla Azienda all’attenzione del Xxxx. Xxxxxxx Xxxxxxxx, Direttore del servizio aziendale Rapporti con l’esterno e Comunicazione con cadenza semestrale;
Vista l’attività prestata, a titolo di rimborso saranno considerati i seguenti costi:
− oneri assicurativi;
− rimborso spese per l’acquisto di servizi di comunicazione e spazi pubblicitari;
− rimborso spese per la stampa dei materiali informativi;
− rimborso spese di gestione e funzionamento delle attività prima specificate;
Eventuali spese oggettivamente non documentabili potranno essere rimborsate su presentazione di apposita dichiarazione di responsabilità firmata dal Presidente/legale rappresentante dell’ETS; l’importo di dette spese dovrà comunque essere marginale rispetto alla spesa globalmente rimborsata;
Le spese rimborsabili saranno liquidate entro sessanta giorni dal ricevimento delle richieste di rimborso.
ART. 9 – Tracciabilità dei flussi finanziari
Ai sensi di quanto disposto dall’art.3, comma 8, della Legge n. 136/2010 "Piano straordinario contro le mafie, nonché delega al Governo in materia di normativa antimafia" e s.m.i., l'ETS assume l’obbligo di tracciabilità dei flussi finanziari relativi alla presente convenzione, secondo la disciplina contenuta nella norma sopra richiamata, utilizzando uno o più conti correnti bancari o postali, accesi presso Banche o presso la Società Poste Italiane S.p.A., dedicati, anche non in via esclusiva, ai rapporti con pubbliche
amministrazioni. Tutte le transazioni relative all'oggetto contrattuale, dovranno essere effettuate esclusivamente tramite lo strumento del bonifico bancario o postale, ovvero altri strumenti di pagamento idonei a consentire la piena tracciabilità delle operazioni;
Gli estremi identificativi dei conti correnti dedicati, dovranno essere comunicati agli uffici amministrativi delle singole articolazioni dell'Amministrazione interessate, entro sette giorni dalla loro accensione o, nel caso di conti correnti già esistenti, dalla loro prima utilizzazione in operazioni finanziarie relative ad una commessa pubblica. Nello stesso termine dovranno essere comunicati le generalità ed il codice fiscale delle persone delegate ad operare su di essi ed ogni eventuale modifica relativa ai dati trasmessi nonché inviata copia del documento d'identità del legale rappresentante, da allegare alla dichiarazione di conto corrente certificato;
L’inadempimento di tale obbligo comporta la risoluzione della presente convenzione, ai sensi dell’art. 1456 c.c.
ART 10 – Incompatibilità
Gli ETS, ai sensi della normativa vigente, si dichiarano consapevoli e a conoscenza che è fatto divieto avere tra coloro che ricoprono posizioni di Presidente o all’interno degli Organi Direttivi, personale in posizione di incompatibilità;
Gli ETS si impegnano a fornire, con cadenza annuale, e comunque ad ogni modifica che in corso d’anno dovesse intervenire, l’elenco nominativo costantemente aggiornato e/o integrato, dei propri aderenti in posizione di Presidente e componenti degli Organi Direttivi dell’ETS medesimo;
L’individuazione di situazioni di incompatibilità potrà comportare la risoluzione di diritto della convenzione ai sensi ai sensi dell’art. 1456 c.c., previa formale diffida all’eliminazione dei rapporti di cui sia stata verificata l’incompatibilità e perdurante inadempienza, qualora non sia comprovata la buona fede nell’esecuzione della convenzione.
ART. 11 – Applicazione della normativa in materia di protezione dei dati personali e nomina del Responsabile del Trattamento
L'Ente ed i volontari/altri soggetti ad esso afferenti, nell'effettuare le attività oggetto della convenzione, si impegnano a trattare i dati personali affidati in osservanza della normativa vigente in materia di protezione dei dati personali - Regolamento (UE) 2016/679 sulla protezione dei dati personali - c.d. GDPR e D. Lgs. 196/2003 e s.m.i. (c.d. Codice Privacy) e della regolamentazione/policy aziendale;
Ai fini della corretta gestione dei dati personali oggetto della convenzione, poiché l'esecuzione del presente rapporto convenzionale prevede che l'ETS tratti dati personali di terzi per conto della Azienda Usl di Modena, quest'ultima, in qualità di Titolare del trattamento, provvede a nominare tale Ente "Responsabile del trattamento", ai sensi dell'art. 28 del GDPR, mediante la formalizzazione di apposito atto di designazione recante le finalità, i contenuti e le condizioni indicate dal suddetto art. 28, paragrafi 3 e ss., in allegato in calce alla presente convenzione;
In ogni caso l'ETS è direttamente responsabile dei danni cagionati ad altri in conseguenza di un illecito trattamento di dati personali imputabile ai volontari, associati, dipendenti o collaboratori.
ART. 12 – Monitoraggio e rendicontazione delle attività
L’Azienda si riserva di monitorare lo svolgimento delle attività progettuali oggetto della Convenzione in modo regolare e continuativo, nonché la qualità dello stesso, nelle modalità che verranno ritenute idonee. L’ETS si impegna a redigere un sintetico report annuale secondo le modalità, i criteri e gli indicatori concordati tra il referente aziendale di progetto e il referente coordinatore dell’ETS. Il report dovrà contenere almeno i seguenti dati di attività:
• numero eventi realizzati
• numero persone raggiunte
• numero test somministrati
• numero invii al Servizio Malattie Infettive;
ART. 13 – Durata, recesso e risoluzione
La presente convenzione ha una durata di anni tre con decorrenza dal 01/01/2022 al 31/12/2024;
Ricorrendone le condizioni, alla scadenza la Convenzione potrà essere rinnovata per un ulteriore anno, su espressa richiesta scritta dell’ETS, previa adozione di un formale provvedimento da parte dell’Azienda. È escluso il tacito rinnovo della Convenzione scaduta;
La Convenzione potrà essere aggiornata, eventualmente modificata e integrata nel tempo, alla luce di eventuali nuove esigenze delle parti, previo nuovo accordo scritto. Resta salva la facoltà di recedere in qualsiasi momento dalla presente Convenzione, previo preavviso di mesi 3, notificato tra le parti a mezzo pec o lettera raccomandata con ricevuta di ritorno;
Nel caso del venir meno dei requisiti per l’iscrizione all’Elenco di cui alla delibera n. 199 del 16/6/2021, il rappresentante dell’Ente medesimo è tenuto a darne tempestiva comunicazione all’Azienda; in tale ipotesi la Convenzione verrà risolta con effetto immediato;
Il rapporto convenzionale si risolve altresì nei seguenti casi:
a) gravi inadempienze ad obblighi nascenti dalla presente Convenzione e in essa specificamente individuati;
b) venir meno del vincolo fiduciario circa il corretto assolvimento dei propri compiti solidaristici da parte dell’Ente.
ART. 14 -Sede dell’Ente ed utilizzo degli spazi aziendali
Fermo restando il principio che la sede legale dell’Ente è quella indicata nella richiesta di convenzionamento o in altri documenti ufficiali presentati, è facoltà dell’Azienda, compatibilmente con le concrete disponibilità logistiche, mettere a disposizione dell’Ente stesso, previa richiesta di quest’ultimo, adeguati spazi, eventualmente anche comuni con altri Enti, da destinare alle esigenze del medesimo, secondo le modalità previste dall’art. 13 del Regolamento;
In nessun caso i locali assegnati ai sensi del presente articolo possono essere eletti a sede dell’Associazione ai sensi dell’art. 46 del Codice Civile.
ART. 15 – Agevolazioni fiscali
Il presente atto è esente da imposta di bollo e dall’imposta di registro ai sensi dell’art. 82, comma 5, del CTS;
Le attività oggetto della presente Convenzione non si considerano prestazioni di servizi ai fini dell’Imposta sul Valore Aggiunto ai sensi dell’art. 8, comma 2, della L. 266/1991;
Il presente atto è soggetto a registrazione solo in caso d’uso come disposto dall’art. 5 del DPR n. 131/1986; in tal caso le spese di registrazione sono a carico della parte richiedente.
ART.16 Controversie
Per eventuali controversie relative all’interpretazione, applicazione o risoluzione della presente Convenzione, le parti ne devolvono concordemente la soluzione bonaria alla Direzione della Macrostruttura interessata, la quale interpella il rappresentante dell’Ente; con ciò senza pregiudizio alcuno al diritto delle parti di far valere le proprie ragioni in sede giurisdizionale;
Le parti eleggono in via esclusiva quale foro competente quello di Modena.
ART.17 Norma finale
Per quanto non previsto dalla presente Convenzione, si fa esplicito rinvio alle norme del CTS, del Codice Civile ed alla normativa statale e regionale, vigenti in materia, in quanto applicabili.
Xxxxx, approvato e sottoscritto
L’AZIENDA USL DI MODENA L’ASSOCIAZIONE
Il Direttore Generale o suo delegato Il Legale Rappresentante
Il Direttore Generale
ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
Art. 28, Regolamento (UE) 2016/679 - GDPR
Considerato che:
• con Deliberazione del Direttore Generale …................ n. ….... del , nell’ambito
del percorso di co-progettazione tra l’Azienda USL di Modena e gli enti del Terzo settore iscritti all’Elenco di cui alla Delibera n. 199 del 16/06/2021 è stata stipulata tra l’Azienda Usl di Modena e l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV la convenzione per la promozione della salute e la prevenzione delle infezioni sessualmente trasmissibili con particolare riguardo ad HIV/AIDS; nella esecuzione del suddetto rapporto convenzionale e nel compimento degli atti conseguenti, la suddetta Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV compie necessariamente operazioni di trattamento di dati personali per conto della Azienda USL di Modena/Titolare del trattamento; l'ambito del trattamento e i dati che ne sono oggetto sono meglio specificati nell'Allegato 1 al presente Atto “Descrizione del trattamento”;
• il Regolamento Generale (UE) 2016/679 sulla protezione dei dati personali (di seguito anche GDPR o Regolamento), definitivamente applicabile in Italia dal 25 maggio 2018, dispone all’art.28 par. 1 che qualora un trattamento debba essere effettuato per conto del Titolare, quest'ultimo ricorre unicamente
a responsabili del trattamento che garantiscano la adozione di misure tecniche ed organizzative adeguate, in modo tale che il trattamento sia conforme alla normativa in materia di protezione dati e garantisca la tutela dei diritti dell’interessato;
• per l’ambito di attribuzioni, funzioni e competenze conferite, la Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV possiede i requisiti di esperienza, capacità e affidabilità idonei a garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza;
• I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli gli elementi elencati all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679.
Tutto ciò premesso, al fine di provvedere alla corretta gestione degli adempimenti previsti dal GDPR, tra le parti si conviene e si stipula quanto segue
Designazione del Responsabile del trattamento
Con il presente Atto il Direttore Generale, legale rappresentante della Azienda USL di Modena/Titolare del trattamento nomina l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV Responsabile del trattamento dei dati personali, per quanto sia necessario alla corretta esecuzione del rapporto convenzionale indicato in premessa.
Obblighi e compiti del Responsabile del trattamento
L’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV /Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento solo ed esclusivamente ai fini della esecuzione dei servizi oggetto del contratto/convenzione, nel rispetto della normativa vigente in materia di protezione dei dati personali, nonché delle istruzioni impartite dal Titolare nel presente Atto o in atti successivi.
Ogni trattamento di dati personali da parte del Responsabile del trattamento deve avvenire nel rispetto dei principi, dei limiti e delle modalità di cui all’art. 5 del GDPR.
Il Responsabile del trattamento, operando nell’ambito dei suddetti principi, deve attenersi ai seguenti compiti, con riferimento rispettivamente a:
persone preposte allo svolgimento di operazioni di trattamento sui dati personali:
sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, designa espressamente e per iscritto i dipendenti e i collaboratori autorizzati/incaricati allo svolgimento di operazioni di trattamento sui dati personali oggetto del contratto, attribuendo loro specifici compiti e funzioni ed impartendo adeguate informazioni ed istruzioni;
Al fine di garantire un trattamento corretto, lecito e sicuro si adopera per rendere effettive le suddette istruzioni, curando la formazione di tali soggetti - sia in tema di protezione dei dati personali che, ove occorra, di sicurezza informatica - vigilando sul loro operato, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento delle loro attività, anche successivamente alla cessazione del rapporto di lavoro/collaborazione con la Ditta stessa;
comunica al Titolare del trattamento, su specifica richiesta l'elenco aggiornato dei dipendenti/collaboratori autorizzati al trattamento, nonché qualsiasi variazione dei profili autorizzativi concessi a tali persone per motivi di sicurezza;
registro delle attività di trattamento:
ove ne sia tenuto, identifica e censisce i trattamenti di dati personali, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività oggetto della convenzione al fine di predisporre il registro delle attività di trattamento svolte per conto della Azienda USL di Modena/Titolare da esibire in caso di ispezione della Autorità Garante e contenente almeno le seguenti informazioni:
• il nome e i dati di contatto del Responsabile, del Titolare del trattamento per conto del quale il Responsabile agisce e, ove applicabile, del Responsabile della protezione dei dati;
• le categorie dei trattamenti effettuati per conto del Titolare;
• se del caso, i trasferimenti di dati personali verso paesi terzi, compresa l'identificazione del paese terzo e la relativa documentazione di garanzia;
• la descrizione generale delle misure di sicurezza tecniche ed organizzative applicate a protezione dei dati;
obblighi di sicurezza:
• adotta le misure tecniche e organizzative adeguate per proteggere la sicurezza, la riservatezza e l'integrità dei dati personali tenendo conto dei rischi di varia probabilità e gravità (di distruzione o perdita, di modifica, di divulgazione non autorizzata o di accesso accidentale o illegale a dati trasmessi, conservati o comunque trattati), dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento;
• definisce una politica di sicurezza per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati; le modalità per garantire tali livelli di sicurezza dovranno essere comunicate al Titolare nel caso di esplicita richiesta;
• si impegna ad utilizzare strumenti, applicazioni e/o servizi che rispettino i principi di protezione dei dati personali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default).
• assicura la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico;
• definisce una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative applicate;
• ulteriori misure di sicurezza sono individuate in relazione allo specifico trattamento di dati da parte del fornitore.
“Data Breach”:
comunica al Titolare del trattamento, senza ingiustificato ritardo dopo esserne venuto a conoscenza - e comunque entro 24 ore - qualsiasi evento che possa comportare una violazione, anche accidentale, dei dati personali oggetto di trattamento, fornendo tutte le informazioni disponibili sull’evento e prestando la necessaria collaborazione al Titolare in relazione all'adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni alla Autorità Xxxxxxx e/o di comunicazione delle stesse agli interessati; a tal fine il Responsabile porrà in essere per quanto compatibile con il contesto e la natura della violazione, la procedura predisposta dal Titolare del trattamento, prendendone visione nella sezione Privacy del sito internet della Azienda: xxxxx://xxx.xxxx.xx.xx/xxxxxxx.
valutazione di impatto:
fornisce tutte le informazioni e tutti gli elementi utili al Titolare per la effettuazione, da parte di quest'ultimo, della valutazione di impatto sulla protezione dei dati, nonché della eventuale consultazione preventiva alla Autorità Garante ai sensi degli artt. 35 e 36 del GDPR;
amministratori di sistema (se necessario in base al fornitore che si sta nominando): conformemente al Provvedimento della Autorità Garante del 27 novembre 2008 e s.m.i., in tema di amministratori di sistema, si impegna a:
• designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;
• predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;
• comunicare periodicamente al Titolare l’elenco aggiornato degli amministratori di sistema;
• verificare annualmente l'operato degli amministratori di sistema, informando il Titolare circa le risultanze di tale verifica;
• mantenere i file di log previsti in conformità a quanto previsto nel suddetto Provvedimento.
istanze degli interessati:
• collabora con il Titolare per fornire tempestivamente tutte le informazioni necessarie e/o i documenti utili al fine di soddisfare l'obbligo del Titolare del trattamento di dare seguito alle richieste degli interessati di cui al Capo III del GDPR (ad es.: esercizio dei diritti di accesso, rettifica, limitazione, opposizione al trattamento dei dati);
• collabora con il Data Protection Officer (DPO) del Titolare del trattamento, provvedendo a fornire ogni informazione dal medesimo richiesta;
• solo qualora il trattamento dei dati personali oggetto della convenzione comporti la raccolta di dati personali da parte del Responsabile del trattamento, questi provvede al rilascio della relativa informativa ai soggetti interessati; inoltre, solo qualora tale raccolta di dati personali avvenga in luoghi ad accesso pubblico, il Responsabile del trattamento provvede ad affiggere in tali luoghi i cartelli
contenenti l’informativa, con la precisazione che l'informazione resa attraverso la cartellonistica integra, ma non sostituisce l'obbligo di informativa in forma orale o scritta.
• provvede ad informare immediatamente il Titolare del trattamento di ogni richiesta, ordine ovvero attività di controllo da parte dell’Autorità Garante per la protezione dei dati personali o dell’Autorità Giudiziaria e coadiuva il Titolare stesso nella difesa in caso di procedimenti dinanzi alle suddette Autorità che riguardino il trattamento dei dati oggetto della convenzione;
ulteriori obblighi:
• mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei dati personali e/o delle istruzioni del Titolare di cui al presente Atto di designazione e consente al Titolare del trattamento l’esercizio del potere di controllo e ispezione, prestando ogni ragionevole collaborazione alle attività di audit effettuate dal Titolare stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente atto. Resta inteso che qualsiasi verifica condotta ai sensi
del presente xxxxx dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del Responsabile e fornendo a quest’ultimo un ragionevole preavviso;
• si impegna altresì a:
• effettuare a richiesta del Titolare un rendiconto in ordine all’esecuzione delle istruzioni ricevute dal Titolare stesso (e agli adempimenti eseguiti) ed alle conseguenti risultanze;
• collaborare, se richiesto dal Titolare, con gli altri Responsabili del trattamento, al fine di armonizzare e coordinare l’intero processo di trattamento dei Dati Personali;
• realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente Atto di designazione;
• informare prontamente il Titolare di ogni questione rilevante ai fini di legge; a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che il trattamento dei dati personali violi la normativa in materia di protezione dei dati personali o presenti comunque rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato o qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati oppure qualora il Responsabile sia soggetto ad obblighi di legge che gli rendono illecito o impossibile agire secondo le istruzioni ricevute dal Titolare e/o conformarsi alla normativa o a provvedimenti dell’Autorità di Controllo.
Come sancito dal GDPR, qualora il Responsabile del trattamento determini autonomamente le finalità e i mezzi di trattamento in violazione del GDPR medesimo, sarà considerato Titolare del trattamento, assumendone i conseguenti oneri, rischi e responsabilità;
trasferimento di dati fuori dall’Area economica europea ("EEA")
dichiara che non trasferisce e tratta dati personali fuori dall’ Area economica europea.
altri Responsabili (Sub–responsabili):
per l'esecuzione di specifiche attività di trattamento per conto del Titolare e solamente previa autorizzazione scritta, specifica o generale del titolare stesso, il Responsabile del trattamento può ricorrere ad altro responsabile (c.d. Sub-responsabile del trattamento); quando ciò avvenga il Responsabile del trattamento si obbliga ad imporre per iscritto a tale Sub-responsabile, mediante atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati personali cui è soggetto il Responsabile stesso, in particolare in relazione agli obblighi in materia di sicurezza. Nel caso in cui il Responsabile del trattamento ricorra a un Sub-responsabile stabilito in un Paese extra-UE, sarà suo
onere adottare adeguati strumenti per legittimare il trasferimento ai sensi degli artt. 44 e ss. del Regolamento.
Il Titolare ha il diritto di chiedere al Responsabile del trattamento:
• il rilascio di copia degli accordi stipulati tra Responsabile e Sub-responsabile (omettendo le sole informazioni strettamente confidenziali e gli accordi economici, se del caso);
• di sottoporre ad audit i propri Sub-responsabili o comunque fornire conferma che tali audit siano stati condotti per dimostrare la conformità dei Sub-responsabili alla normativa in materia di protezione dei dati personali, nonché agli obblighi di cui al presente Atto.
Il Responsabile del trattamento si impegna espressamente ad informare il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di eventuali Sub-responsabili del trattamento, dandogli così l’opportunità di opporsi a tali modifiche. Il Responsabile non può ricorrere ai Sub-responsabili nei cui confronti il Titolare abbia manifestato la sua opposizione.
Qualora il Sub-responsabile ometta di adempiere ai propri obblighi, il Responsabile del trattamento conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’inadempimento degli obblighi del Sub-responsabile.
responsabile della protezione dei dati:
Il Responsabile del trattamento comunica al Titolare del trattamento il nome e i dati di contatto del proprio responsabile della protezione dei dati, ove designato.
Condizioni della nomina
Chiunque subisca un danno materiale o immateriale causato da una violazione della normativa in materia di protezione dati ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile. In particolare il Responsabile risponde per tale danno (anche per eventuali suoi Sub-responsabili) se non ha adempiuto agli obblighi che la normativa pone direttamente in capo ai responsabili o ha agito in modo difforme o contrario rispetto alle istruzioni impartite dal Titolare nel presente Atto o ad ulteriori istruzioni eventualmente trasmesse per iscritto dal Titolare.
In caso di richieste di risarcimento pervenute al Titolare, per violazioni compiute dal Responsabile, il Titolare si riserva il diritto di rivalsa nei confronti del Responsabile stesso.
Per quanto riguarda le sanzioni imputabili da parte dell’Autorità Garante, fanno fede gli art. 82, 83 e 84 del Regolamento.
Resta fermo, in ogni caso, che la responsabilità penale per l’eventuale uso non corretto dei dati oggetto di tutela è a carico della singola persona cui l’uso illegittimo sia imputabile.
Resta inteso inoltre che la presente designazione non comporta alcun diritto per il Responsabile a uno specifico compenso, indennità o rimborso per l’attività svolta in qualità di Responsabile, ulteriore rispetto a quanto già previsto nel contratto/convenzione stipulato con il Titolare, indicati al presente Atto.
Durata del trattamento
Il presente Atto di designazione decorre dalla data in cui viene sottoscritto dalle parti ed è condizionato, per oggetto e per durata, al rapporto contrattuale/convenzionale in corso tra l’Azienda USL di Modena e
l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV e si intenderà revocato di diritto alla scadenza del rapporto o alla risoluzione, per qualsiasi causa, dello stesso.
La nomina si intende comunque estesa ad eventuali future proroghe e/o rinnovi di contratti, aventi ad oggetto le medesime o ulteriori attività che comportino un trattamento di dati personali analoghi da parte l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV, in nome e per conto del Titolare, Azienda USL di Modena.
Resta fermo che, anche successivamente alla cessazione o alla revoca del contratto/convenzione, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
Restituzione e cancellazione dei dati
Al termine del periodo di conservazione o all’atto della conclusione o della revoca del contratto, su richiesta, o in qualsiasi altro momento per sopravvenute necessità, la l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV dovrà interrompere ogni operazione di trattamento dei dati personali e dovrà provvedere, a scelta del Titolare, all’immediata restituzione dei dati allo stesso, comprese tutte le eventuali copie di backup e tutta la documentazione cartacea, oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente attestazione scritta che presso il Responsabile del trattamento non ne esista alcuna copia.
In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.
Per quanto non espressamente previsto nel presente Atto di designazione, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali, nonché alle disposizioni di cui al contratto/convenzione stipulato tra le parti, sopra individuato.
Il presente documento è redatto e sottoscritto in unico originale digitale e trasmesso l’Associazione
Arcigay Modena “Xxxxxxx Xxxxxxx” ODV per la sottoscrizione per accettazione.
Il Titolare del trattamento
oppure
Il Delegato al trattamento
ACCETTAZIONE DELLA NOMINA
Il legale rappresentante l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV nella sua qualità di Responsabile del trattamento dei dati di cui in premessa:
o accetta la nomina;
o si impegna a procedere al trattamento dei dati personali attenendosi alle disposizioni di cui alla normativa in materia di protezione dei dati personali ed alle istruzioni impartite dal Titolare, Azienda USL di Modena, nel presente Atto o in atti successivi;
o dichiara di aver ricevuto ed esaminato i compiti e le istruzioni sopra indicate
o dichiara di aver preso visione della procedura aziendale per la gestione di Data Breach nella sezione Privacy del sito internet dell’Azienda USL di Modena
Il Responsabile del trattamento
Se la sottoscrizione non dovesse avvenire con firma digitale, si prega di allegare copia fotostatica del documento di riconoscimento.
ALLEGATO 1 Descrizione del trattamento (art. 28, paragrafo 3, GDPR)
Il presente Allegato costituisce parte integrante dell'Atto di designazione della l’Associazione Arcigay Modena “Xxxxxxx Xxxxxxx” ODV quale Responsabile del trattamento dei dati da parte del Titolare/Azienda USL di Modena e definisce in particolare:
Finalità del Trattamento
(Il presente elenco è da considerarsi a titolo puramente esemplificativo e non esaustivo)
× Erogazione di prestazioni sanitarie
× Somministrazione di test rapidi per HIV, l'HCV e la Sifilide in maniera completamente anonima nell’ambito del servizio di Community-based voluntary counselling and testing
× Finalità amministrative connesse alla cura dei pazienti (Raccordo con UO Malattie infettive dell’Azienda Ospedaliero Universitaria di Modena)
o Fornitura di beni e/o servizi
o Marketing
× Profilazione ai fini dell’individuazione di target di popolazione a rischio
o Erogazione di servizi di manutenzione IT
o Altro (specificare)
×
Categorie degli interessati
(Il presente elenco è da considerarsi a titolo puramente esemplificativo e non esaustivo)
× Pazienti
o Dipendenti, specialisti convenzionati, universitari integrati, personale in formazione e altri collaboratori
o Clienti
o Consulenti
o Fornitori
o Altro (specificare)
o Altro (specificare)
Tipologie di Dati personali da trattare
(Il presente elenco è da considerarsi a titolo puramente esemplificativo e non esaustivo)
o dati anagrafici di pazienti
o dati anagrafici di dipendenti, specialisti convenzionati, universitari integrati, personale in formazione e altri collaboratori
o dati anagrafici dii familiari, se presenti detrazioni di figli/coniuge a carico e assegni nucleo familiare
× dati relativi allo stato di salute dei pazienti
o dati relativi allo stato di salute di dipendenti, specialisti convenzionati, universitari integrati, personale in formazione e altri collaboratori (disabilità, certificati medici, certificati di gravidanza)
o dati genetici
o dati biometrici
o permessi di soggiorno
o dati retributivi
o dati anagrafici dei fornitori
× abitudini di consumo
× abitudini legate a potenziali fattori di rischio
ALLEGATO 2 Misure di sicurezza (art. 32, GDPR)
Misure di Sicurezza per Responsabili del trattamento dati che facciano accesso ai sistemi informativi e ai dispositivi dell’Azienda USL di Modena
Definizioni/acronimi:
- AUSL: Azienda USL di Modena/Titolare del trattamento
- RET: Responsabile (Esterno) al Trattamento
- ICT: Information e Communication Technology (Tecnologie Informatiche e Telematiche)
- SUIC: Servizio Unico Ingegneria Clinica
Introduzione
Il presente documento descrive le misure tecniche e organizzative specifiche che l’Azienda USL di Modena (AUSL) richiede a soggetti che, a seguito di contratto di designazione a Responsabile (Esterno) al Trattamento Dati (RET), siano abilitati all’accesso ai sistemi informativi di AUSL.
Le misure descritte nel presente documento sono da intendersi integrative rispetto a quanto previsto dalle normative vigenti in merito a trattamento dati personali e tutela del patrimonio, che rimangono pertanto il riferimento normativo principale a cui attenersi.
Principi Generali
In merito al trattamento dei dati personali, il RET si impegna ad una condotta orientata alla riservatezza, alla pertinenza e non eccedenza nel trattamento dati, adottando ovunque possibile metodologie e soluzioni tecniche che privilegino il trattamento di dati con formati non riconducibili all’interessato (es. anonimizzati, pseudononimizzati, ecc.).
In merito al trattamento di dati non personali, ma che costituiscono patrimonio aziendale, il RET si impegna ad una condotta rispettosa della proprietà del dato, consapevole del fatto che l’uso per altre finalità, la diffusione o la trasmissione a terzi di tali dati possono costituire illecito penale, pertanto perseguibile, e che l’alterazione di dati può costituire danno per l’azienda.
Operatori del RET
Il RET si impegna a informare delle presenti misure e delle normative applicabili tutti gli operatori che siano coinvolti nel trattamento dati (con qualsiasi tipo di rapporto).
Il RET si impegna a censire tutti gli operatori coinvolti nel trattamento e, su richiesta, a fornire l’elenco con descrizione dei ruoli ad AUSL.
Qualora il RET, nell’ambito del trattamento, si avvalesse di credenziali con privilegi di amministrazione di sistema, è tenuto alla tenuta di un registro di tali operatori. Il RET si impegna, a fornire l’elenco con descrizione dei ruoli ad AUSL.
Il RET deve definire formalmente un regolamento sull’utilizzo degli strumenti ICT oggetto del trattamento di dati di AUSL. Tale regolamento deve essere conforme alla normativa vigente e garantire le misure minime organizzative atte a tutelare il dato di AUSL. Tale regolamento deve essere, su richiesta, fornito ad AUSL.
Servizi di Assistenza, Manutenzione, Supporto, Collaborazione, Erogazione di Servizi per Conto, che prevedano accesso ai sistemi di AUSL
Quanto descritto nella presente sezione si applica a RET il cui rapporto con AUSL preveda l’accesso ai sistemi informativi per l’erogazione di servizi di assistenza, manutenzione, supporto, collaborazione e erogazione per conto, di qualsiasi di tipo.
1. L’accesso ai sistemi AUSL deve avvenire esclusivamente con modalità sicure, concordate con AUSL. E’ fatto divieto di adottare sistemi di collegamento e comunicazione non concordati con AUSL.
2. L’accesso ai sistemi AUSL deve avvenire a seguito di emissione di credenziali AUSL, che sono personali e non condivisibili; la persona fisica associata alle credenziali sarà ritenuta responsabile, insieme al RET, di ogni azione svolta con tali credenziali e ritenuta responsabile di eventuali usi impropri (es. condivisione delle credenziali con colleghi).
- Eccezioni all’abbinamento nominale delle credenziali aziendali possono essere valutate dal Servizio ICT o SUIC solo in contesti tecnici che richiedessero tali modalità quale condizione non derogabile per l’erogazione del servizio. Tale eccezione sarà regolata con apposito emendamento al contratto di nomina a RET.
- A seguito di cessazione del rapporto di operatori con il RET, questo è tenuto a comunicarlo al Servizio ICT o SUIC entro 24h allo scopo di procedere all’immediata disabilitazione delle credenziali.
3. Qualsiasi accesso a dati deve essere motivato da esplicita richiesta da parte di AUSL o da procedura operativa concordata tra RET e AUSL. E’ obbligo del RET mantenere documentazione delle motivazioni degli accessi, che AUSL si riserva di richiedere in fase di istruttoria relativa a specifici accessi.
4. In nessun caso è consentito il trasferimento di dati in copia unica dalla AUSL verso sistemi informativi del RET (es. esportazione di dati storici verso i sistemi del RET con cancellazione dai sistemi di AUSL). Anche quando si rendesse necessario trasferire copia di dati verso i sistemi del RET, una copia deve rimanere archiviata sui sistemi di titolarità della AUSL o presso l’infrastruttura AUSL con modalità concordate con AUSL.
5. Eventuali copie di dati verso i sistemi del RET dovranno essere autorizzate (singolarmente o tramite definizione di procedure operative) da AUSL e non potranno comunque eccedere l’insieme di dati oggetto del rapporto tra il RET e AUSL.
6. Eventuali copie di dati verso i sistemi del RET dovranno essere archiviate e gestite secondo modalità conformi con la normativa vigente e su sistemi che rispettino le Misure Minime di Sicurezza ICT/SUIC definite da AGID come obbligatorie per le pubbliche amministrazioni. La durata dell’archiviazione deve essere limitata al soddisfacimento delle sole esigenze espresse da AUSL.
7. Qualsiasi alterazione volontaria di dati (personali o non) da parte del RET sui sistemi di AUSL dovrà essere preventivamente esplicitamente autorizzata da AUSL.
8. Il RET deve garantire, a conclusione del rapporto, la completa rimozione dei dati di titolarità AUSL da ogni supporto o collocazione. Questa dovrà avvenire dopo avere eseguito e documentato con verbale di collaudo il trasferimento dei dati verso destinazione indicata da AUSL.
9. E’ obbligo del RET notificare alla AUSL/Titolare del trattamento entro 24h qualsiasi evento che abbia comportato perdita, alterazione, diffusione o trasmissione non intenzionale verso terzi di dati di AUSL. Questo include anche eventi non direttamente imputabili al RET, ma di cui il RET venga a conoscenza.
Servizi in Outsourcing Totale
Quanto descritto nella presente sezione di applica al RET il cui rapporto con AUSL preveda la fornitura di servizi verso AUSL la cui infrastruttura tecnica sia totalmente in gestione al RET (es. soluzioni Cloud quali SAAS, IAAS, PAAS o gestione di sottoreti o sistemi informatici presso i locali di AUSL ma a totale carico del RET).
10. Il RET è tenuto a fornire alla AUSL una completa descrizione infrastrutturale e architetturale delle modalità di trattamento del dato (informatizzato), che riporti in particolare:
- Collocazione geografica dei data center;
- Modalità di gestione delle credenziali;
- Modalità di gestione degli accessi;
- Modalità di gestione dell’integrità (es. tecnologie di backup);
- Modalità di gestione della confidenzialità (es. architettura di security di rete);
- Modalità di gestione della continuità (es. tecnologie di business continuity).
La AUSL si riserva di chiedere approfondimenti tecnici e di rispondenza alle normative della documentazione fornita.
11. Le modalità di trattamento informatico del dato, oltre ad essere conformi alla normativa vigente, devono rispettare le Misure Minime di Sicurezza ICT definite da AGID come obbligatorie per le pubbliche amministrazioni.
12. La AUSL si riserva, a titolo di monitoraggio ed ispettivo, di eseguire verifiche remote o sul posto delle modalità di trattamento. Il RET dovrà rendere possibili tali verifiche.
13. Il RET deve fornire una modalità di accesso massivo ai dati di titolarità AUSL da parte di un insieme di utenti indicato da AUSL. Tale accesso deve consentire in qualsiasi momento una verifica della integrità dei dati, ed essere reso disponibile alla conclusione del rapporto tra RET e AUSL per il recupero dei dati e il loro trasferimento su sistemi di gestione AUSL o di altri RET. Tali dati devono essere disponibili in formato leggibile, con strutturazione e codifica documentate e coerenti con le modalità di fruizione e archiviazione applicative (es. non è considerato accesso massivo accettabile il riversamento in formati solo testuali destrutturati, PDF, immagini o comunque non riconducibile a dati strutturati e codificati)
14. Il RET deve garantire l’accesso ai log di sistema (operazioni di accesso e modifica) relativi ai trattamenti dei dati di AUSL. Tale accesso deve essere reso disponibile in tempo reale ad un insieme concordato di utenti AUSL, o comunque reso disponibile entro 24h dalla richiesta.
15. Il RET deve garantire ad AUSL di potere, qualora fossero necessarie operazioni massive sui dati (es. rettifica di dati per prevenire o riparare a malfunzionamenti o errati inserimenti di dati), di poter accedere in modifica con modalità massive ai dati ospitati sui sistemi del RET.
16. Qualsiasi alterazione volontaria di dati (personali o non) da parte del RET sui dati di AUSL dovrà essere preventivamente esplicitamente autorizzata dalla AUSL.
17. Il RET deve garantire ad AUSL di poter oscurare volontariamente e in modo tracciato i dati (pur mantenendo l’oscuramento dell’operazione di oscuramento).
18. Il RET deve garantire, a conclusione del rapporto, la completa rimozione dei dati di titolarità AUSL da ogni supporto o collocazione. Questa dovrà avvenire dopo avere eseguito e documentato con verbale di collaudo il trasferimento dei dati verso destinazione indicata da AUSL.
19. E’ obbligo del RET notificare alla AUSL/Titolare del trattamento entro 24h qualsiasi evento che abbia comportato perdita, alterazione, diffusione o trasmissione non intenzionale verso terzi di dati di AUSL. Questo include anche eventi non direttamente imputabili al RET, ma di cui il RET venga a conoscenza.