MODELLO ORGANIZZATIVO PRIVACY (“MOP”) DI ASL AL
Identificativo: Doc. PRV001 Vers. 0.4 Data: 24/11/2020
ASL AL
MODELLO ORGANIZZATIVO PRIVACY (“MOP”) DI ASL AL
Nome e Ruolo Firma
Autore
Società Leonardo S.p.A.
Verifica
Avv. Xxxxx Xxxxxxx Xxxx, Direttore dell’esecuzione del contratto per ASL AL | ||
Dott.ssa Xxxxxxx Xxxxxxx – Data Protection Officer ASL AL |
Approvazione
Legale Rappresentante ASL AL
Lista di Distribuzione
Rev. | Data | Destinatario | Azienda |
00 | 24.11.2020 | AVV. XXXXX XXXXXXX XXXX | ASL AL |
Registro delle Revisioni
Rev. | Data | Descrizione delle modifiche | Autori |
00 | 24.11.2020 | Prima emissione | Leonardo |
SOMMARIO
1 INTRODUZIONE 5
1.1 Scopo 5
1.2 Ambito di applicabilità ed efficacia 5
2 Riferimenti 6
2.1 Riferimenti interni 6
2.2 Riferimenti esterni 6
3 Definizioni, acronimi e abbreviazioni 7
3.1 Definizioni 7
3.2 Acronimi, abbreviazioni 9
4 MODELLO ORGANIZZATIVO PRIVACY 10
4.1 Ruoli Privacy definiti per l’esecuzione degli adempimenti 11
4.1.1 Titolare del Trattamento 11
4.1.2 Soggetti Designati al trattamento dei Dati Personali 13
4.1.3 Persone autorizzate al Trattamento dei Dati Personali 17
4.1.4 Amministratori di Sistema 18
4.1.5 Responsabile del Trattamento di Dati Personali 18
4.2 Funzione Privacy di supporto per la gestione degli adempimenti privacy 20
4.3 Ruoli Privacy per la sorveglianza e il monitoraggio sugli adempimenti privacy 20
4.3.1 Responsabile per la Protezione dei Dati Personali (RPD) di ASL AL 20
5 ALLEGATI 22
5.1 Allegato A - Modulistica 23
5.1.1 Allegato A1 – Modello standard nomina Soggetto Designato 23
5.1.2 Allegato A2 – Modello standard nomina Autorizzato 30
5.1.3 Allegato A3 – Modello standard nomina Amministratore di Sistema 35
5.1.4 Allegato A4 – Modello standard nomina Responsabile del Trattamento 38
LISTA DELLE TABELLE
Tabella 1 – Definizioni 8
Tabella 2 – Acronimi, abbreviazioni 9
LISTA DELLE FIGURE
Figura 1 – Modello Organizzativo Privacy ASL AL 11
1 INTRODUZIONE
Il presente Modello Organizzativo Privacy (anche “MOP”) adottato dall’Azienda Sanitaria Locale Alessandria (in seguito per brevità anche “ASL AL”) descrive i principi di riferimento, le regole, i ruoli e le responsabilità, dei soggetti coinvolti nelle attività di gestione e protezione dei Dati Personali, in ottemperanza al principio di “accountability” (responsabilizzazione) e in conformità con quanto previsto dalla vigente normativa privacy applicabile1.
1.1 Scopo
Scopo del presente documento è illustrare il modello organizzativo definito in ASL AL per garantire l’osservanza di quanto disposto dal Regolamento (UE) 2016/679 (di seguito GDPR) e dal D.Lgs. 30 giugno 2003, n. 196 così come integrato con le modifiche introdotte dal X.Xxx. 10 agosto 2018, n.101.
1.2 Ambito di applicabilità ed efficacia
Il presente documento si applica con efficacia immediata ad ASL AL, ovvero alla rete ospedaliera (i Presidi Ospedalieri), alla rete territoriale (i Distretti), al Dipartimento di Prevenzione, all’area Amministrativa dell’Azienda e a tutti gli ulteriori Servizi, Strutture ed Uffici comunque denominati.
1 Per normativa privacy applicabile si intende, ai fini del presente documento, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”) e le leggi e i provvedimenti nazionali tra cui il D. Lgs. 196/2003 e ss.mm.ii. (Codice della privacy), che specificano ulteriormente l'applicazione delle norme contenute nel GDPR.
2 RIFERIMENTI
Di seguito la normativa interna ed esterna all’Azienda, nonché i principali documenti di riferimento per questo documento.
2.1 Riferimenti interni
• Deliberazione del Commissario n. 288 del 28/04/2020 - Designazione del DPO
• Deliberazione del Direttore Generale n.2015/711 del 06/10/2015
Oggetto: D.G.R. n. 36-2167 del 28/09/2015 Conclusione procedimento di verifica Atto Aziendale ASL AL - Recepimento prescrizioni regionali e s.m.i.
• Deliberazione del Direttore Generale n.2015/711 del 06/10/2015
Oggetto: D.G.R. n. 36-2167 del 28/09/2015 Conclusione procedimento di verifica Atto Aziendale ASL AL - Recepimento prescrizioni regionali.
• Infodipendenti pubblicata sul registro ufficiale u. 0052675 del 22.05.2019 “Indicazioni operative per la gestione delle nomine e delle lettere di incarico già emesse dall’ASL AL alla data del 25 maggio 2018”.
2.2 Riferimenti esterni
• REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
• Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI e successive modificazioni ed integrazioni, come novellato dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101.
• DECRETO LEGISLATIVO 10 agosto 2018, n. 101 Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
• PROVVEDIMENTO 5 giugno 2019 del Garante per la Protezione dei Dati Personali. Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101. (Provvedimento n. 146). (19A04879) (GU Serie Generale n.176 del 29-07-2019).
• PROVVEDIMENTO Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) e successive modificazioni (così modificato in base al provvedimento del 25 giugno 2009).
• Guida del Garante Privacy italiano all'applicazione del Regolamento europeo in materia di protezione dei dati personali.
3 DEFINIZIONI, ACRONIMI E ABBREVIAZIONI
3.1 Definizioni
Ai fini del presente documento, si forniscono le seguenti definizioni.
Vocabolo | Titolo |
Autorità di controllo | Autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’art. 51 del GDPR. |
Autorizzato al Trattamento | La persona fisica che ha accesso ai dati e che compie le operazioni di trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento (art. 29 del GDPR). In ASL AL è il dipendente o il collaboratore al quale sono delegati dall’Azienda, nell’ambito del proprio vigente assetto organizzativo, specifici compiti connessi al trattamento dei dati personali. |
Responsabile per la Protezione dei Dati (“RPD”), o Data Protection Officer (“DPO”) | Soggetto designato ai sensi dell’art. 37 del GDPR (Designazione del responsabile della protezione dei dati) cui sono affidati i compiti previsti nell’art. 39 dello stesso GDPR. In ASL AL il RPD/DPO è un professionista esterno. La designazione ed i compiti sono declinati da apposita Deliberazione del Legale Rappresentante. |
Designato al trattamento | Soggetto designato al Trattamento dei Dati Personali, nominato dal Titolare, che è inserito nella struttura organizzativa aziendale del Titolare. |
Interessati | Le persone fisiche cui i Dati Personali si riferiscono. |
Comunicazione | Si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2 -quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione; (Art. 2. Modifiche alla parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196, comma 4, lett. a) del D.lgs. n.101/ 18). |
Consenso dell’interessato | Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. (art. 4 Definizioni, Par. 11) del GDPR). |
Dato personale | Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. (art. 4 Definizioni, Par. 1) del GDPR). |
Dati personali relativi a categorie particolari | Ai sensi dell’art. 9, par. 1 del GDPR si intendono i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona |
Dati relativi alla salute | i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4 Definizioni, Par. 15) del GDPR). |
Dati relativi a condanne penali e reati | I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (art. 4 Definizioni, comma 1, lett. d) del Codice) – definizione abrogata. I dati giudiziari nel GDPR sono identificabili con i dati personali relativi a condanne penali e reati (art. 10 del GDPR). |
Vocabolo | Titolo |
Dati genetici | Si intendono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione (art. 4 Definizioni, Par. 13) del GDPR) |
Dati biometrici | Si intendono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici (art. 4 Definizioni, Par. 14) del GDPR) |
Diffusione | Si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (Art. 2. Modifiche alla parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196, comma 4, lett. b) del D.lgs. n.101/ 18). |
Garante per la protezione dei dati personali | L’Autorità di controllo italiana (l’Autorità Garante per la protezione dei Dati personali) designata anche ai fini dell’attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679. |
Responsabile del trattamento | La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4 Definizioni, Par. 8) del GDPR) |
Titolare | La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; (art. 4 Definizioni, Par. 7) del GDPR) |
Trattamento | Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (art. 4 Definizioni, Par. 2) del GDPR). |
Tabella 1 – Definizioni
3.2 Acronimi, abbreviazioni
Ai fini del presente documento, si identificano i seguenti acronimi, abbreviazioni.
Codice | Titolo |
AdS | Amministratore di Sistema |
ASL AL | Azienda Sanitaria Locale Alessandria |
DPIA | Data Protection Impact Assessment |
GDPR | General Data Protection Regulation |
MOP | Modello Organizzativo Privacy |
RPD/DPO | Responsabile per la Protezione dei Dati/Data Protection Officer |
SC | Struttura Complessa |
SS | Struttura Semplice |
SSD | Struttura Semplice Dipartimentale |
Tabella 2 – Acronimi, abbreviazioni
4 MODELLO ORGANIZZATIVO PRIVACY
Nel presente capitolo sono riportate le figure dell’organizzazione privacy dell’ASL AL coinvolte nell’applicazione della normativa sulla tutela dei dati personali nonché i compiti ad esse assegnati.
Il Modello Organizzativo Privacy (“MOP”) di ASL AL è rispondente non solo alle esigenze di adeguamento alla normativa, ma anche ai processi organizzativi propri dell’Azienda.
Il modello si sviluppa, in particolare, attraverso un sistema di governance articolato in tre tipologie di Ruoli:
• Ruoli Privacy definiti per l’esecuzione degli adempimenti.
Visti il GDPR, il D.Lgs. 196/03 e ss.mm.ii e considerata la vigente normativa, il Titolare del Trattamento ha individuato le seguenti figure che costituiscono la parte del modello organizzativo per l’esecuzione degli adempimenti e dei trattamenti.
- Il Titolare del Trattamento (di seguito, per brevità, anche il “Titolare”);
- I Soggetti Designati al trattamento dei dati personali (di seguito, per brevità, anche i “Soggetti Designati”);
- I Responsabili del Trattamento dei dati personali (di seguito, per brevità, anche i “Responsabili del Trattamento”);
- Le persone autorizzate al trattamento di dati personali (di seguito per brevità, anche, gli “Autorizzati”).
- Gli Amministratori di Sistema (di seguito, per brevità, anche gli “AdS”).
• Ruoli Privacy per la sorveglianza e il monitoraggio sugli adempimenti privacy.
Per la sorveglianza sull’osservanza degli adempimenti privacy la figura di riferimento è il Responsabile della Protezione dei dati personali (di seguito per brevità “RPD/DPO”)2.
Il RPD/DPO per le attività di sorveglianza e di monitoraggio degli adempimenti privacy è supportato dall’Ufficio Privacy, che con il RPD/DPO collabora e si coordina.
• Ruoli Privacy di supporto per la gestione degli adempimenti privacy.
L’Ufficio Privacy è la struttura organizzativa che ha la missione di supportare il Titolare nella gestione degli adempimenti privacy dell’Azienda (cfr. par. 4.2).
2 Nomina RPD/DPO con Deliberazione del Commissario n. 288 del 28/04/2020.
La figura 1 illustra il modello organizzativo dell’Azienda con i ruoli privacy e le relative interazioni.
Figura 1 – Modello Organizzativo Privacy ASL AL
4.1 Ruoli Privacy definiti per l’esecuzione degli adempimenti
- Il Titolare del Trattamento;
- I Soggetti Designati;
- Gli Autorizzati
- Gli Amministratori di Sistema
- I Responsabili del Trattamento
4.1.1 Titolare del Trattamento
Il Titolare del trattamento è il soggetto che ha il controllo sui trattamenti dei dati personali (in lingua inglese “Data Controller”). Ai sensi dell’art. 4 Definizioni, Par. 7) del GDPR è definito come “La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Il Titolare del Trattamento decide le finalità e le modalità del trattamento ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalle leggi e, comunque, dalla vigente normativa.
Il Titolare del Trattamento è Azienda Sanitaria Locale Alessandria (“ASL AL”), in persona del legale rappresentante pro-tempore e Direttore Generale f.f..
Di seguito, tra le prescrizioni cui l’Azienda è tenuta, si riportano, a titolo esemplificativo, gli obblighi più rilevanti in capo al Titolare del Trattamento:
a) garantire il rispetto dei principi applicabili ai trattamenti dei dati personali di cui all’art. 5 del GDPR (responsabilizzazione);
b) designare il RPD ai sensi dell’art. 37 del GDPR cui sono affidati i compiti previsti nell’art. 39 dello stesso GDPR;
c) definire il Modello Organizzativo Privacy per l’esecuzione degli adempimenti in materia di privacy e per garantire la protezione dei Dati Personali degli interessati;
d) assicurare che le persone autorizzate al trattamento, siano istruite in conformità all’art. 29 del GDPR, anche mediante la programmazione di iniziative formative;
e) assicurare l’attuazione delle misure tecniche, giuridiche ed organizzative, ivi incluse le politiche in materia di protezione dei dati, adeguate per garantire ed essere in grado di dimostrare la sicurezza dei dati e l’osservanza del GDPR fin dalla progettazione (Data protection by design) e per impostazione predefinita (Data protection by default) di cui all’art. 25 del GDPR;
f) fornire all’interessato, ove applicabile, per il trattamento dei dati personali, tutte le informazioni di cui agli artt. 13 e 14 del GDPR;
g) dare seguito alle richieste di esercizio dei diritti degli interessati di cui al Capo III del GDPR e del codice privacy 196/2003 e ss.mm.ii;
h) emanare il Registro delle attività di trattamento cui all’art. 30 del GDPR, da redigere con il supporto del DPO/RPD e la collaborazione dei Soggetti Designati, assicurandone l’aggiornamento e la tenuta dello stesso, anche nei casi di richiesta da parte dell’Autorità Garante ai sensi dell’art. 30 p.4 GDPR;
i) approvare ed emanare, con il supporto del RPD, la documentazione redatta per garantire la corretta applicazione della normativa sulla tutela dei dati personali;
j) cooperare con il Garante per la protezione dei dati personali in conformità all’art. 31 del GDPR;
k) notificare una eventuale violazione dei dati personali all’Autorità Garante e comunicare la medesima agli Interessati quando la violazione possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in conformità a quanto prescritto dagli artt. 33 e 34 del GDPR (cosiddetto Personal Data Breach);
l) garantire che sia condotta, ove necessario, una valutazione d’impatto sulla protezione dei dati personali (cosiddetta “Data Protection Impact Assessment”, di seguito per brevità “DPIA”), di cui all’art. 35 del GDPR che tenga conto di una valutazione dei rischi per i diritti e le libertà degli interessati, della eventuale consultazione preventiva al Garante di cui all’art. 36 del GDPR nonché delle indicazioni fornite dal RPD documentando per iscritto le motivazioni per cui si è ritenuto di non conformarsi alle stesse;
m) effettuare periodicamente attività di verifica/audit, atte a garantire il rispetto degli adempimenti normativi previsti dal GDPR avvalendosi del DPO.
4.1.2 Soggetti Designati al trattamento dei Dati Personali
Il Titolare del trattamento determina, consultando laddove ritenuto necessario il RPD/DPO, l’organizzazione per l’esecuzione degli adempimenti previsti dalla vigente normativa privacy.
Occorre rilevare che il legislatore, all’art. 2-quaterdecies "Attribuzione di funzioni e compiti a soggetti designati" del Codice in materia di protezione dei dati personali, introdotto dal D.Lgs. 10 agosto 0000, x. 000 (x. art. 2, Modifiche alla parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196), ha introdotto la figura facoltativa del "soggetto designato", prevedendo la possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile.
Alla luce del quadro normativo sopra delineato, considerata la complessità dell’organizzazione dell’ASL AL, in continuità con l’assetto organizzativo sin qui già progettato3, Il Titolare ha ritenuto opportuno attribuire specifici compiti e funzioni connesse al trattamento di dati personali a “Soggetti Designati” che rivestono un elevato grado di responsabilità ed autonomia all’interno dell’ASL AL, al fine di poter efficacemente rispondere alle specifiche necessità operative dei servizi, in modo da rendere più tempestiva ed efficace la vigilanza sui trattamenti e sulla protezione dei dati. Il Titolare ricorre ai Soggetti Designati individuandoli tra i soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali.
Pertanto, all’interno di tale schema di riferimento, Il Titolare ritiene necessario procedere alla nomina dei Soggetti Designati al trattamento dei dati personali, ai sensi dell’art. 2 – quaterdecies “Attribuzione di funzioni e compiti a soggetti designati” del D.Lgs. 196/2003 e ss.mm.ii, individuando, in coerenza con l’attuale assetto organizzativo, i Dirigenti responsabili delle seguenti Strutture organizzative:
- SC EPIDEMIOLOGIA
- SC MEDICO COMPETENTE E PREVENZIONE E PROTEZIONE
- UFFICIO LEGALE
- CENTRO REGIONALE PER LA RICERCA E SORVEGLIANZA RISCHI D'AMIANTO
- SERVIZIO SOCIALE AZIENDALE
- SC DIREZIONE DELLE PROFESSIONI SANITARIE (Xx.X.Xx.)
- SC FARMACIA OSPEDALIERA
- SC FARMACIA TERRITORIALE
- SC ECONOMICO FINANZIARIO
- SC AFFARI GENERALI - RELAZIONI ISTITUZIONALI - TUTELE - ATTIVITA' ISPETTIVA
- SC PERSONALE E SVILUPPO RISORSE UMANE
- SC PROGRAMMAZIONE - CONTROLLO - SISTEMA INFORMATIVO
- SC ECONOMATO - LOGISTICA - APPROVVIGIONAMENTI - PATRIMONIALE
- SC TECNICO - TECNOLOGIE BIOMEDICHE - ICT
- SC DIREZIONE SANITARIA P.O. CASALE XXXX.XX
3 Finché non era entrato in vigore il GDPR, in adempimento al vecchio articolo 29 del Codice della privacy (art. ora abrogato), in ASL AL la figura del Soggetto Designato era rappresentata dal Responsabile interno del trattamento (cfr. Deliberazione del Direttore Generale n. 2009/1379 del 25.06.2009 e successive modificazioni ed integrazioni avente ad oggetto: “Decreto Legislativo 30 giugno 2003, n. 196: nomina dei Responsabili del trattamento dei dati personali). Dal momento che questa figura non è incompatibile con il GDPR, in ASL AL le eventuali nomine in essere a Responsabile interno, salvo variazioni organizzative o di ambito operativo di riferimento nel frattempo intercorsi, sono ancora valide (cfr. Infodipendenti pubblicata sul registro ufficiale u. 0052675 del 22.05.2019 “Indicazioni operative per la gestione delle nomine e delle lettere di incarico già emesse dall’ASL AL alla data del 25 maggio 2018”).
- SC DIREZIONE SANITARIA P.O. NOVI LIGURE
- NUCLEO CONTROLLO RICOVERI
- SC CHIRURGIA GENERALE CASALE XXXX.XX
- SC CHIRURGIA GENERALE TORTONA
- SC CHIRURGIA GENERALE NOVI LIGURE
- SC CHIRURGIA GENERALE ACQUI TERME
- SC ORL CASALE XXXX.XX
- SC OCULISTICA CASALE XXXX.XX
- SC ORTOPEDIA NOVI LIGURE
- SC ORTOPEDIA ACQUI TERME
- SC ORTOPEDIA TORTONA
- SC ORTOPEDIA CASALE XXXX.XX
- SC UROLOGIA NOVI LIGURE
- SC MEDICINA GENERALE TORTONA
- SC MEDICINA GENERALE NOVI LIGURE
- SC MEDICINA GENERALE ACQUI TERME
- SC MEDICINA GENERALE XXXXXX X.
- SC MEDICINA GENERALE OVADA
- SC ONCOLOGIA CASALE XXXX.XX
- SC ONCOLOGIA NOVI LIGURE
- SC PNEUMOLOGIA CASALE XXXX.XX
- SC NEFROLOGIA NOVI LIGURE
- SC NEUROLOGIA NOVI LIGURE
- SC NEUROLOGIA CASALE XXXX.XX
- SC CARDIOLOGIA CASALE XXXX.XX
- SC CARDIOLOGIA NOVI LIGURE
- SC IMMUNOEMATOLOGIA E TRASFUSIONALE ASL AL
- SC RADIOLOGIA CASALE XXXX.XX
- SC RADIOLOGIA NOVI LIGURE
- SC LABORATORIO ANALISI NOVI LIGURE
- SC ANATOMIA PATOLOGICA NOVI LIGURE
- SC DEA (Sede CASALE XXXX.XX)
- SC ANESTESIA E RIANIMAZIONE CASALE M.
- SC ANESTESIA E RIANIMAZIONE NOVI LIGURE
- SC OSTETRICIA GINECOLOGIA CASALE M.
- SC OSTETRICIA GINECOLOGIA NOVI L.
- SC PEDIATRIA CASALE XXXX.XX
- SC PEDIATRIA NOVI L.
- SC NEUROPSICHIATRIA INFANTILE TERRITORIALE
- SC RRF CASALE XXXX.XX
- SC RRF TORTONA
- SC LUNGODEGENZA OVADA
- SC DISTRETTO ALESSANDRIA – VALENZA
- TUTELA SALUTE IN CARCERE
- COMMISSIONE DI VIGILANZA SUI PRESIDI SOCIO-SANITARI, SOCIO ASSISTENZIALI E SOCIO EDUCATIVI
- COMMISSIONE VIGILANZA SULLE STRUTTURE PRIVATE
- SC DISTRETTO CASALE MONFERRATO
- SC DISTRETTO NOVI LIGURE – TORTONA
- SC DISTRETTO ACQUI TERME – OVADA
- SC SER.D
- SC SALUTE MENTALE
- COORDINAMENTO PIANO LOCALE PREVENZIONE
- SC SIAN
- SC SISP
- SC S.PRE.S.A.L.
- SC VETERINARIO - AREA A
- SC VETERINARIO - AREA B / PMPPV
- SC VETERINARIO - AREA C
- SC MEDICINA LEGALE
- Servizio Socio Assistenziale Distretto Casale Monferrato e Comuni ex Distretto di Valenza
- SSA COMUNICAZIONE - URP - FORMAZIONE
- SSA GOVERNO CLINICO QUALITA’ ACCREDITAMENTO
- SSD ODONTOSTOMATOLOGIA
- SSD SENOLOGIA
- SSD GASTROENTEROLOGIA ED ENDOSCOPIA DIGESTIVA
- SSD TERAPIA DEL DOLORE
- SSD MALATTIE INFETTIVE
- CONSULTORI DISTRETTUALI.
Di seguito, a titolo esemplificativo, sono riportate le principali funzioni ed i compiti più rilevanti attribuiti ai Soggetti Designati:
a) nominare e coordinare gli Autorizzati ai trattamenti e fornire le istruzioni necessarie;
b) assistere e coadiuvare il Titolare nell’esecuzione degli adempimenti previsti dalla vigente normativa privacy. Per tale funzione può essere dotato di specifiche autonomie decisionali circa le modalità del trattamento;
c) garantire il rispetto degli adempimenti privacy per le attività istituzionali dell’ASL affidate alla propria Struttura/Area e che implicano un trattamento di dati personali;
d) garantire che la raccolta dei dati personali e le operazioni di trattamento affidate alla propria Struttura/Area, avvengano per scopi determinati, espliciti e legittimi e che i dati trattati siano esatti, pertinenti, completi, non eccedenti e conservati per un periodo non superiore a quello necessario per gli scopi del trattamento;
e) segnalare, alla competente struttura aziendale e al DPO, eventuali specifici interventi formativi in tema di privacy per il personale della struttura di appartenenza da prevedere nell’ambito del piano dei fabbisogni formativi;
f) adottare, nell’ambito delle specifiche funzioni di attuazione assegnate dal Titolare, le misure tecniche e organizzative per la protezione e la sicurezza dei dati;
g) individuare quali Responsabili del trattamento ex art. 28 del GDPR, i soggetti esterni cui ASL AL affida servizi che implicano un trattamento di dati personali che rientrano nella titolarità dell’Azienda comunicando al Titolare ed al RPD gli aggiornamenti in merito alle designazioni dei suddetti Responsabili;
h) coinvolgere il RPD/DPO in tutte le questioni inerenti la protezione dei dati personali nelle situazioni previste dalle leggi e nell’ambito dei processi aziendali;
i) informare il Titolare del trattamento ed il RPD dell’ASL AL di ogni violazione di dati personali (cd. Personal data breach) nel rispetto delle tempistiche e delle modalità previste dall’Azienda e assistere il Titolare nelle comunicazioni all’interessato di cui all’art. 34 GDPR;
j) collaborare nelle verifiche interne per la sorveglianza in tema di privacy, fornendo le informazioni e i documenti richiesti;
k) ottemperare ad ogni altro adempimento stabilito dal Titolare in relazione al trattamento dei dati personali.
I compiti affidati al Soggetto Designato così come l’ambito organizzativo di competenza sono analiticamente specificati per iscritto dal Titolare nella lettera di designazione in conformità a quanto disposto dall’art. 2 – quaterdecies del D.Lgs. 196/2003 e ss.mm.ii.
Per i dettagli circa i compiti assegnati ai Soggetti Designati si rinvia ai relativi atti di designazione.
Per la nomina dei Soggetti Designati, sopra indicati, deve essere utilizzato lo standard di nomina predisposto dall’Azienda (ALL. A1) salvo adattarli alle specifiche esigenze delle funzioni e strutture organizzative presso cui i Soggetti Designati eseguiranno i trattamenti.
Si stabilisce che il Titolare del trattamento possa, con successivo atto, individuare quali Designati al trattamento anche altri soggetti (dirigenti/responsabili di Struttura/area), oltre a quelli sopra indicati, in virtù delle modifiche dell’atto aziendale, delle particolarità organizzative e funzionali delle attività di competenza e in virtù di nuove assunzioni al ruolo di dirigente/responsabile di Struttura/Area.
4.1.3 Persone autorizzate al Trattamento dei Dati Personali
Il GDPR prevede espressamente la figura della persona autorizzata al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile del Trattamento (figura menzionata all’art. 4, n.10) del GDPR).
In ASL AL per persona Autorizzata al trattamento dei Dati Personali si intende il personale dell’ASL AL che nell’espletamento delle proprie mansioni esegue materialmente le attività che implicano un trattamento di dati personali e che hanno ricevuto formale lettera di nomina in conformità agli artt. 29, 32 par. 4) del GDPR e 28 paragrafo 3 lett. B).
Gli Autorizzati devono garantire il rispetto degli adempimenti privacy nell’esecuzione delle attività ad esse assegnate. All’Autorizzato sono affidati compiti di riservatezza e osservanza di regole di sicurezza rispetto ai trattamenti che effettua, con obbligo di attenersi alle istruzioni ricevute.
Il Designato nomina e istruisce gli Autorizzati assicurandosi, attraverso le attività di monitoraggio previste nei processi aziendali, che forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento.
Le responsabilità per una corretta gestione dei dati ed i compiti affidati all’Autorizzato, così come l’ambito dei trattamenti di competenza sono specificati per iscritto dal Titolare e riportati nell’atto di nomina definito dal Designato.
La nomina degli Autorizzati può essere individuale ovvero per struttura organizzativa di responsabilità del Designato, tramite la loro preposizione alla struttura medesima/ovvero per categoria professionale, purché ciascun soggetto Autorizzato sia nominativamente elencato nell’atto di nomina e lo controfirmi per accettazione.
Viene stabilito, inoltre, che la nomina seguirà il dipendente unitamente ai vari atti di nomina a nuovo incarico o spostamento senza necessità di ulteriori atti formali e si intenderà revocata di diritto in caso di risoluzione del rapporto e/o di qualsiasi altra vicenda estintiva del rapporto principale.
Ai fini della nomina degli Autorizzati, i Designati devono avvalersi dei modelli di nomina predisposti dall’Azienda (ALL. A2) e, ove necessario, adattarli alle specifiche esigenze delle attività svolte nelle strutture organizzative all’interno delle quali verranno eseguiti i trattamenti.
Di seguito, a titolo esemplificativo, sono riportati alcuni dei principali compiti e degli obblighi previsti più rilevanti in capo agli Autorizzati:
• raccogliere i dati personali e successivamente trattarli per il solo perseguimento delle finalità istituzionali dell’ASL AL e, comunque, per scopi determinati, espliciti e legittimi. I dati devono essere esatti, pertinenti, completi, non eccedenti e conservati per un periodo non superiore a quello necessario per gli scopi del trattamento;
• informare, tempestivamente e senza ingiustificato ritardo, il Titolare e/o per suo conto il Soggetto Designato e il RPD/DPO secondo il processo aziendale, di ogni violazione di dati personali (cd. Personal
data breach) nel rispetto delle tempistiche e delle modalità indicate nella lettera di nomina e/o nella documentazione Privacy dell’Azienda;
• trattare i dati, sia in modalità informatica e telematica, sia cartacea, osservando le modalità operative impartite dall’Azienda;
• coadiuvare il Soggetto Designato nelle attività inerenti all’esercizio dei diritti dell’interessato;
• supportare i Soggetti Designati nelle attività connesse alla tenuta del registro dei trattamenti di cui all’art. 30 del GDPR.
4.1.4 Amministratori di Sistema
Gli Amministratori di Sistema (“AdS”) sono figure previste dal Provvedimento emanato dall’Autorità Garante per la Privacy il 27 novembre 2008 dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema” e pubblicato sulla Gazzetta Ufficiale del 24/12/2008 e successive modifiche ed integrazioni.
Ai sensi del Provvedimento sopra citato, gli Amministratori di Sistema sono figure professionali che in ambito informatico si occupano della gestione e della manutenzione di un impianto di elaborazione o di sue componenti con cui vengono effettuati trattamenti di Dati Personali. Vengono inoltre considerate tali anche altre figure, quali gli amministratori di basi dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
In ASL AL, i compiti affidati all’Amministratore di Sistema così come l’ambito di operatività di competenza sono analiticamente specificati per iscritto dal Titolare che effettua la designazione individuale, in ottemperanza a quanto previsto dal Provvedimento del Garante del 27/11/2008 e ss.mm.ii, attraverso i Designati, se muniti di apposita delega.
Ai fini della designazione a Amministratore di Sistema, deve essere utilizzato il modello standard di nomina predisposto dall’Azienda (ALL. A3), da adattare e personalizzare in base alle specifiche situazioni.
4.1.5 Responsabile del Trattamento di Dati Personali
Il Responsabile del Trattamento ai sensi dell’art. 28 del GDPR è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, in virtù di apposito contratto di servizio o altro atto scritto equivalente, tratta i Dati Personali per conto del Titolare.
Qualora un Trattamento di cui è Titolare ASL AL debba essere effettuato per suo conto da un soggetto esterno (quali ad esempio, amministrazioni pubbliche, enti, istituti, società, ditte, imprese, eccetera), ai sensi dell’art. 28 del GDPR, l’Azienda ricorre a Responsabili del Trattamento sottoscrivendo apposito atto giuridico. Quando individuati, ricevono formale designazione a Responsabile del Trattamento in conformità al GDPR.
Ai fini del presente modello organizzativo privacy, Il contratto o altro atto giuridico che ne disciplina gli obblighi prevede, in particolare, che il responsabile del trattamento debba:
• garantire che le attività di trattamento ad esso assegnate siano svolte nel pieno rispetto delle previsioni legislative vigenti in materia di protezione dei dati personali, in particolare, nel rispetto
degli obblighi stabiliti ai sensi dell’art. 28 del GDPR e delle istruzioni fornite da ASL AL nel contratto o nell’atto giuridico che ne disciplina il rapporto;
• mettere in atto le misure tecniche e organizzative adeguate per proteggere i dati personali del Titolare in coerenza ed ai sensi dell’articolo 32 del GDPR;
• rendere disponibili tutte le informazioni necessarie a dimostrare il rispetto degli adempimenti normativi previsti dal GDPR e consentire all’ASL AL l’esecuzione di attività di verifica periodica;
• procedere, laddove fosse espressamente e preventivamente autorizzata da ASL AL, alla designazione di sub-fornitori/sub-appaltatori quali Responsabili/Sub responsabili del trattamento (ai sensi dell’art. 28 del GDPR) imponendogli, mediante contratto o altro atto giuridico, i medesimi obblighi in materia di protezione dei dati contenuti nella designazione, prevedendo in particolare, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR;
• informare, tempestivamente e senza ingiustificato ritardo, il Titolare del trattamento e il RPD dell’ASL AL, di ogni violazione di dati personali (cd. Personal data breach) nel rispetto delle tempistiche e modalità comunicate da ASL AL e assistere il Titolare nelle comunicazioni all’interessato di cui all’art. 34 del GDPR ;
• assistere ASL AL nel garantire il rispetto dell’obbligo di svolgimento della valutazione d’impatto sulla protezione dei dati personali (“Data Protection Impact Assessment”, di seguito per brevità DPIA), e nell’esecuzione dell’analisi dei rischi conformemente a quanto prescritto dall’art. 35 del GDPR e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’art. 36 del GDPR ;
• garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
• informare immediatamente il Titolare del trattamento ed il RPD ASL AL qualora un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’UE, relative alla protezione dei dati personali;
• tenere un “Registro delle attività di trattamento” di cui all’art. 30 del GDPR effettuate sotto la propria responsabilità e cooperare con l’ASL AL e con il Garante per la protezione dei dati personali, laddove ne venga fatta richiesta ai sensi dell’art. 30, comma 4 del GDPR;
• assistere ASL AL qualora sia necessario dare seguito a specifiche richieste di esercizio dei diritti dell’interessato, così come enunciati dal Capo III del GDPR;
• non trasferire i dati personali verso un paese terzo o un’organizzazione internazionale, salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte del Titolare;
• Impegnarsi, ove sussistano i requisiti di applicazione, ad adottare, per conto del Titolare, ogni misura idonea a garantire l’osservanza del provvedimento del Garante per la Protezione dei dati Personali emanato in data 27 novembre 2008 e successive modifiche e integrazioni: “Misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema”.
Ai fini della designazione del responsabile del trattamento, deve essere utilizzato il modello standard di nomina predisposto dall’Azienda (ALL. A4), da adattare e personalizzare in base alle specifiche situazioni.
4.2 Funzione Privacy di supporto per la gestione degli adempimenti privacy
L’Ufficio Privacy è la struttura organizzativa che ha la missione di supportare tutti i Soggetti Designati e per il loro tramite il Titolare nella gestione degli adempimenti previsti dalla vigente normativa privacy.
Si riportano, a titolo esemplificativo e non esaustivo, i compiti più rilevanti di competenza:
• Predisporre, con l’eventuale supporto del RPD/DPO, i modelli standard di nomina e della necessaria modulistica;
• Supportare i Soggetti Designati nell’adattare e personalizzare i modelli standard nomina alle specifiche situazioni;
• Collaborare con i Soggetti Designati nella redazione delle informative ex art.13 e 14 e nell’acquisizione del consenso, ove necessario;
• Fornire collaborazione nell’ambito della gestione del processo di gestione dell’esercizio dei diritti dell’interessato;
• Coadiuvare i Soggetti Designati nell’archiviazione della documentazione in materia di privacy;
• Collaborare e coordinarsi con il RPD/DPO per le attività di sorveglianza e di monitoraggio degli adempimenti privacy.
4.3 Ruoli Privacy per la sorveglianza e il monitoraggio sugli adempimenti privacy
L’ASL AL intende verificare e sorvegliare l’osservanza da parte dell’Azienda della vigente normativa privacy comunitaria e nazionale, nonché della normativa interna (processi, policy, regolamenti, istruzioni, documentazione, ecc.) in materia di privacy emanata dal Titolare del trattamento, compreso il funzionamento e l’efficacia del presente modello organizzativo privacy. A tale scopo sono individuati i seguenti soggetti con compiti di sorveglianza e di monitoraggio sugli adempimenti privacy:
- Responsabile per la Protezione dei Dati personali (“RPD”).
Il RPD, a tale scopo, effettuerà audit periodici a campione. Potrà svolgere attività di verifica riguardante trattamenti di dati personali specifici su richiesta del Titolare o dei Designati.
4.3.1 Responsabile per la Protezione dei Dati Personali (RPD) di ASL AL
Il RPD (in lingua inglese “DPO” – Data Protection Officer), designato con deliberazione del Commissario n. 288 del 28/04/2020, svolge principalmente funzioni di informazione, consultazione, controllo, sorveglianza dell’osservanza del GDPR, in conformità a quanto disposto dagli artt. 37, 38 e 39 del GDPR e delle Linee Guida del Garante sui Responsabili della protezione dei dati del 14 Luglio 2017.
Il RPD deve assolvere i suoi compiti in autonomia e indipendenza e deve disporre di un supporto adeguato in termini di risorse finanziarie, infrastrutture.
Più specificamente, ai fini del presente modello organizzativo privacy, il RPD/DPO di ASL AL, come risulta dalle previsioni del GDPR e dalla normativa interna (cfr. Deliberazione del Commissario n. 288 del 28/04/2020), ha il compito di:
• sorvegliare l’osservanza del GDPR, del D.Lgs. 196/03 e ss.mm.ii., di altre disposizioni nazionali o dell’Unione Europea relative alla protezione dei dati, nonché alle politiche del Titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento;
• informare e fornire consulenza al Titolare del Trattamento, nonché ai Soggetti Designati, alle Persone autorizzate in merito all’esecuzione dei trattamenti e agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione relative alla protezione dei dati;
• supportare il Titolare ai fini del mantenimento e dell’aggiornamento del Registro delle attività di trattamento, collaborando con le pertinenti strutture aziendali per la gestione del suddetto Registro.
• fornire, se richiesto, un parere al Titolare del Trattamento in merito alla valutazione d’impatto sulla protezione dei dati personali (cosiddetta “Data Protection Impact Assessment”, di seguito per brevità “DPIA”), di cui all’art. 35 del GDPR e sorvegliarne lo svolgimento ai sensi dell’art. 39 p.1 lett.
c) GDPR;
• cooperare e fungere da punto di contatto con l’Autorità Garante Privacy per tutte le questioni connesse al trattamento dei dati tra cui la consultazione preventiva di cui all’art. 36 GDPR ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione (art. 39 p.1 lettera e) GDPR);
• fungere da punto di contatto per gli interessati per tutte le questioni relative al trattamento dei dati personali e all’esercizio dei loro diritti previsti dal regolamento e supportare il Titolare, i Xxxxxxxx Designati, le Persone autorizzate nei procedimenti ad essi correlati;
• supportare il Titolare del Trattamento per tutte le attività relative alla notificazione/comunicazione di una violazione dei dati personali all’Autorità Garante e agli Interessati, di cui rispettivamente agli artt. 33 e 34 del GDPR, nel rispetto della documentazione dell’ASL AL in materia di Personal Data Breach ;
• riferire del proprio operato al Titolare;
• supportare il Titolare del Trattamento nelle attività di controllo, di sorveglianza e di monitoraggio in tema di privacy;
• svolgere le funzioni comunque assegnate dalla normativa nel tempo di vigenza contrattuale.
Con specifico riferimento agli obblighi posti in capo al Titolare nei confronti del RPD rileva evidenziare che ai sensi dell’art. 38 c. 1 del GDPR “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”
Il RPD/DPO inoltra, ove richiesto, al Titolare e alla Funzione Privacy, una relazione sull’attività svolta.
5 ALLEGATI
Si riportano i modelli utilizzati per le nomine, approvati dal Titolare, che ne dispone l’utilizzo per le finalità di organizzazione interna volte alla protezione dei dati personali di cui l’ASL AL è Titolare.
I sopra citati modelli standard sono allegati al presente “MOP” e ne formano parte integrante e sostanziale. Tuttavia, gli allegati ovvero la modulistica di cui al par. 5.1. è gestita separatamente dal presente documento. Ciò al fine di consentire l'aggiornamento dei modelli senza prevedere l'aggiornamento dell'intero documento.
L’Azienda, pertanto, si riserva la possibilità di modificare od integrare detti modelli a seguito di eventuali successive variazioni sia della normativa sia della peculiare attività della Struttura organizzativa interessata, nonché dello specifico ruolo ricoperto e/o dell’incarico conferito alla persona.
5.1 Allegato A - Modulistica
5.1.1 Allegato A1 – Modello standard nomina Soggetto Designato
Luogo: , data: / /
ASL AL
<indirizzo e numero civico>
<CAP, città e provincia>
Il Direttore Generale
Egregio Dott./Dott.ssa
<inserire nome e cognome>
<inserire ruolo e struttura organizzativa di direzione/responsabilità>
<inserire sede>
Oggetto: Nomina e conferimento di funzioni ai “Soggetti Designati” ai sensi dell’art. 2 – quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) del D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali” così come integrato con le modifiche introdotte dal D.Lgs. 101/2018.
Il Direttore Generale, Legale Rappresentante dell’Azienda Sanitaria Locale Alessandria (di seguito per brevità “ASL AL”), con sede legale in Xxx Xxxxxxx x.0, 00000 Xxxxxxxxxxx, titolare del trattamento dei dati personali, ai sensi dell’art. 4. par. 1, n. 7 del Regolamento (UE) 2016/679,
VISTO CHE:
• E’ in vigore e pienamente applicabile il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, il “GDPR”) che garantisce la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto di protezione dei dati personali;
• E’ in vigore il DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” e xx.xx. ii. (integrato, in particolare, con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679);
• E’ in vigore il decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, recanti norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche.
RICORDATO CHE:
• Ai fini della presente atto, per “Normativa Privacy Applicabile” si intendono il GDPR, integrato, in particolare, da leggi e provvedimenti nazionali, che specificano ulteriormente l’applicazione delle norme ivi contenute.
PREMESSO CHE:
• l’ASL AL, è una Azienda che <inserire informazioni sull’azienda> che svolge attività che comportano il trattamento4 di Dati Personali5 nell’ambito dell’esecuzione delle funzioni istituzionali
• il Titolare del Trattamento ha designato, con DELIBERAZIONE n. 288 del 28/04/2020, la Dott.ssa Xxxxxxx Xxxxxxx della Società Netbrain S.r.l. di Torino, quale Responsabile della Protezione dei Dati Personali (RPD) di ASL AL, in conformità a quanto prescritto dall’art. 37 del GDPR.
PRESO ATTO CHE:
• ai sensi dell’art. 24 del GDPR, il Titolare del Trattamento è tenuto a mettere in atto le misure, tecniche ed organizzative, adeguare per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al GDPR;
• l’art. 29 del GDPR stabilisce la regola generale per cui “chiunque agisca sotto l’autorità del responsabile del trattamento o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”;
TENUTO CONTO CHE:
• il Titolare del Trattamento intende rispettare la suddetta disposizione tramite questo atto di nomina a Soggetto Designato al Trattamento dei Dati, in ossequio al principio di accountability che informa il GDPR;
• l’art. 2-quaterdecies del Codice Privacy, così come novellato dal D.Lgs. 101/2018 prevede esplicitamente che “il Titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.
CONSIDERATO CHE:
4 Ai fini del GDPR per “trattamento” si intende, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4.2, GDPR).
5 Ai fini del GDPR per ”dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4.1, GDPR).
Tra i Dati Personali rientrano anche: categorie specifiche di dati personali tra cui:
i dati relativi a categorie particolari di dati personali di cui all’art. 9, comma 1, del GDPR: ovvero i dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (i “Dati Particolari”);
i dati penali di cui all’art. 10 del GDPR: dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (i “Dati Penali”).
• L’ASL AL tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità dei trattamenti, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, ha messo in atto un processo finalizzato all’ individuazione ed implementazione delle misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento dei dati personali è gestito uniformandosi al regolamento sopra citato.
ATTESO CHE:
il Titolare stesso è consapevole che:
• le relative soluzioni tecniche ed organizzative richiedono a ASL AL un costante monitoraggio anche mediante riesami e periodici aggiornamenti,
• tali misure, periodicamente riesaminate ed aggiornate, qualora necessario, devono tener conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso,
• è tenuto anche a mettere in atto misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, quali la pseudonimizzazione, la minimizzazione e anche ad integrare, nel trattamento, le necessarie garanzie al fine di soddisfare i requisiti del suddetto regolamento e tutelare i diritti degli interessati alla riservatezza ed all’adeguato trattamento dei dati personali,
• è tenuto altresì a mettere in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
PRESO ATTO CHE:
• gli obblighi di cui sopra valgono per la quantità dei dati personali raccolti, per la portata del trattamento ed anche per il periodo di conservazione e l'accessibilità e che le misure da adottare devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l'intervento della persona fisica.
DATO ATTO CHE:
• Alla luce del quadro normativo sopra delineato, considerata la complessità dell’organizzazione dell’ASL AL, in continuità con l’assetto organizzativo sin qui già progettato6, il Titolare del trattamento ha ritenuto opportuno attribuire specifici compiti e funzioni connesse al trattamento di dati personali a “Soggetti Designati” che rivestono un elevato grado di responsabilità ed autonomia all’interno dell’ASL AL;
• Ai sensi delle citate disposizioni normative, il Soggetto Designato opera sotto la diretta autorità del Titolare del Trattamento;
• Il Titolare ricorre ai Soggetti Designati individuandoli tra i soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali. Ai sensi delle citate disposizioni normative, il Soggetto Designato opera sotto la diretta autorità del Titolare del Trattamento;
6 Finché non era entrato in vigore il GDPR, in adempimento al vecchio articolo 29 del Codice della privacy (art. ora abrogato), in ASL AL la figura del Soggetto Designato era rappresentata dal Responsabile interno del trattamento (cfr. Deliberazione del Direttore Generale n. 2009/1379 del 25.06.2009 e successive modificazioni ed integrazioni avente ad oggetto: “Decreto Legislativo 30 giugno 2003, n. 196: nomina dei Responsabili del trattamento dei dati personali).
• Il Titolare del trattamento ha inteso procedere alla nomina dei Soggetti Designati al trattamento dei dati personali, ai sensi dell’art. 2 – quaterdecies “Attribuzione di funzioni e compiti a soggetti designati” del D.Lgs. 196/2003 e ss.mm.ii, individuando, in coerenza con l’attuale assetto organizzativo dell’Azienda, i Dirigenti responsabili di Struttura organizzativa.
Consapevole che il Soggetto Designato effettua il trattamento attenendosi alle istruzioni impartite dal Titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e istruzioni.
Ritenuto che il Dott. <indicare nome e cognome> in qualità di Dirigente per la Struttura/Servizio/Ufficio
<indicare nome della Struttura/Servizio/Ufficio>, per l’ambito di attribuzioni, funzioni e competenze conferite, abbia le garanzie sufficienti per mettere in atto tutte le misure tecniche ed organizzative adeguate a soddisfare i requisiti del GDPR e della vigente normativa privacy e a garantire la tutela dei diritti degli Interessati.
TUTTO CIO’ PREMESSO DESIGNA
Il Dott. <indicare nome e cognome>, quale Xxxxxxxx designato ai sensi dell’art. 2 – quaterdecies del D.lgs. 196/2003 e ss.mm.ii. al trattamento dei dati, attribuendo i compiti e le responsabilità di adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia di protezione dei dati e di osservare scrupolosamente quanto in essa previsto, nonché le seguenti istruzioni impartite dal Titolare.
Nell’ambito delle Sue funzioni presiede ai trattamenti di dati personali di competenza della Struttura
<indicare i riferimenti della Struttura/Servizio/Ufficio>, la cui elencazione e descrizione è riportata nel “Registro delle attività di Trattamento” di cui all’art. 30 del GDPR, disponibile per la consultazione presso l’Ufficio Privacy dell’ASL AL, attenendosi al rispetto delle seguenti istruzioni.
a) I trattamenti devono essere svolti nel pieno rispetto delle previsioni legislative vigenti in materia di protezione dei dati personali, nonché tenendo conto dei provvedimenti e dei comunicati ufficiali emessi dall'Autorità Garante per la Protezione dei Dati Personali (di seguito per brevità anche “Garante”).
b) In veste di Xxxxxxxx designato al Trattamento dei Dati personali dovrà garantire il rispetto degli adempimenti privacy per le attività istituzionali dell’ASL affidate alla propria Struttura/Area e che implicano un trattamento di dati personali.
c) La raccolta dei dati personali e la loro successiva registrazione devono avvenire per il solo perseguimento delle finalità istituzionali di ASL AL e, comunque, per scopi:
- Determinati, vale a dire che non è consentita la raccolta come attività fine a sé stessa.
- Espliciti, nel senso che il soggetto interessato va informato sulle finalità del trattamento.
- Legittimi, cioè, oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito.
d) Le operazioni di trattamento nell’ambito della <indicare i riferimenti della Struttura/Servizio/Ufficio> di competenza, dovranno essere organizzate in conformità con la Normativa in materia di protezione dei dati personali applicabile ed in accordo con le eventuali indicazioni scritte impartite dall’Azienda, assicurando l’applicazione del principio della “Protezione dei dati fin dalla progettazione e protezione predefinita” di cui all’art. 25 del GDPR, determinando i mezzi del trattamento e mettendo in atto le misure tecniche e organizzative adeguate, di cui all’art. 32 del GDPR, prima dell’inizio delle attività. Inoltre, dovrà essere adottata ogni misura adeguata, fisica e logica, atta a garantire che i dati personali siano trattati in ossequio al principio di necessità e che siano trattati solamente per le finalità previste e per il tempo strettamente necessario al raggiungimento delle stesse (privacy by default).
e) In veste di Xxxxxxxx designato al Trattamento dei Dati personali, dovrà collaborare con il Titolare del Trattamento affinché siano garantiti tutti i diritti dell’interessato di cui al Capo III del GDPR. In particolare, dovrà attenersi ad ogni istruzione scritta impartita al riguardo dal Titolare.
f) Dovranno essere rese disponibili al Titolare del trattamento, tutte le informazioni necessarie per dimostrare il rispetto degli adempimenti normativi previsti dalla Normativa in materia di protezione dei dati personali applicabile relative alla <indicare i riferimenti della Struttura/Servizio/Ufficio>, consentendo di effettuare periodicamente attività di verifica, comprese ispezioni realizzate dal Titolare stesso, dal Responsabile della Protezione dei Dati o da un altro soggetto incaricato.
g) Xxxxx informare il Titolare del trattamento ed il Responsabile della Protezione dei Dati personali, qualora sorgesse la necessità di effettuare trattamenti su dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti.
h) I dati personali trattati, devono, inoltre, essere:
- Xxxxxx, cioè, precisi e rispondenti al vero e, se necessario, aggiornati.
- Pertinenti, ovvero, il trattamento è consentito soltanto per lo svolgimento delle funzioni istituzionali, in relazione all’attività che viene svolta.
- Completi: non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato.
- Non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso.
- Conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti amministrativi. Trascorso detto periodo i dati vanno resi anonimi o cancellati e la loro comunicazione e diffusione non è più consentita.
i) Ciascun trattamento deve avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato al trattamento, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.
j) Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dalla Normativa in materia di protezione dei dati personali applicabile è necessario provvedere, previa comunicazione al Responsabile della Protezione dei Dati (RPD) di ASL AL, al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (ad esempio fornendo l’informativa omessa), ovvero alla cancellazione dei dati se non è possibile regolarizzare.
Inoltre, in conformità con la Normativa Privacy Applicabile, dovrà:
• Individuare e, se presenti, designare le Persone autorizzate al trattamento dei dati personali, che prestano la propria attività all’interno della <indicare i riferimenti della Struttura/Servizio/Ufficio> di propria competenza.
• Garantire che, presso la propria struttura, le persone incaricate/autorizzate al trattamento dei dati personali assolvano ad un adeguato livello di riservatezza.
• Vigilare sull’operato delle Persone autorizzate al trattamento dei dati personali, nonché sensibilizzare le stesse sugli aspetti normativi ed organizzativi in materia di tutela dei dati personali.
• Garantire che i profili di accesso ai sistemi informativi da parte delle Persone autorizzate al trattamento dei dati personali siano configurati anteriormente all’inizio del trattamento, nonché verificare, periodicamente, secondo le procedure aziendali, che tali profili siano conformi con le mansioni svolte.
In caso di sospensione dall’attività lavorativa o revoca/esclusione dall’incarico dovrà essere comunicato alle strutture competenti la necessità di procedere alla disattivazione dell’utenza.
• Assicurare, all’interno della propria <indicare i riferimenti della Struttura/Servizio/Ufficio>, il pieno rispetto degli adempimenti formali nei modi e nei tempi previsti dalla legge.
• Verificare che la documentazione cartacea e digitale e le relative procedure informatizzate che supportano l’attività di trattamento dei dati di propria competenza, nonché i profili di autorizzazione degli incaricati al trattamento dei dati rispondano ai principi di necessità, pertinenza e non eccedenza.
• Verificare che all’interessato o al soggetto presso il quale sono raccolti i dati sia data l’informativa.
• Verificare che l’interessato o altro soggetto legittimato presti, quando previsto, il consenso al trattamento dei dati;
• Collaborare con l’Autorità Garante in caso di ispezioni al fine di fornire informazioni, documenti e ogni facilitazione di accesso alle banche dati inerenti alla <indicare i riferimenti della Struttura/Servizio/Ufficio> di competenza.
• Collaborare nelle verifiche predisposte dal Responsabile della Protezione dei Dati (RPD) al fine di fornire informazioni, documenti e ogni facilitazione di accesso alle banche dati
• Informare prontamente il Responsabile della Protezione dei Dati di ogni questione rilevante ai fini della legge sulla protezione dei dati personali (ad es. in caso di eventuali istanze inerenti l’esercizio dei diritti degli Interessati ai sensi degli artt. da 15 a 22 del GDPR).
• Informare il Titolare del trattamento ed il RPD dell’ASL AL di ogni violazione di dati personali (cd. Personal data breach) nel rispetto delle tempistiche e delle modalità previste dall’Azienda e assistere il Titolare nelle comunicazioni all’interessato di cui all’art. 34 GDPR.
• Nel caso in cui il Titolare debba fornire informazioni aggiuntive alla suddetta Autorità Xxxxxxx, supportare il Titolare stesso nella misura in cui le informazioni richieste e/o necessarie per l’Autorità Garante siano esclusivamente in possesso del Soggetto designato.
• Collaborare, per <indicare i riferimenti della Struttura/Servizio/Ufficio> di propria competenza, alla redazione ed aggiornamento del “Registro delle attività di trattamento” di cui all’art. 30 del GDPR, cooperando con il Titolare e con l’Autorità Garante per la protezione dei dati personali, laddove ne venga fatta richiesta ai sensi dell’art. 30, comma 4 del GDPR.
• Collaborare con il Titolare al fine di comunicare tempestivamente l’inizio di ogni nuovo trattamento, la cessazione o la modifica dei trattamenti in atto, nonché ogni notizia rilevante ai fini della tutela della sicurezza e riservatezza dei dati personali;
• Su eventuale espressa richiesta del Titolare, collaborare per i trattamenti <indicare i riferimenti della Struttura/Servizio/Ufficio> di competenza, allo svolgimento della valutazione d’impatto sulla protezione dei dati, conformemente a quanto prescritto dall’art. 35 del GDPR e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’art. 36 del GDPR.
• Garantire che la protezione dei dati personali all’interno della <indicare i riferimenti della Struttura/Servizio/Ufficio> di propria competenza sia realizzata in base alle misure di sicurezza previste dall’art. 32 del GDPR ed adeguate a ridurre al minimo i rischi di distruzione, perdita o modifica anche accidentale o illegale, dei dati, e divulgazione, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali.
<inserire formula di saluto>
Luogo: , data: / /
<inserire nome e cognome>
Per il Titolare del trattamento , Firma del Legale Rappresentante
Luogo: , data: / /
Per accettazione:
<inserire nome e cognome> Firma del Soggetto Designato
5.1.2 Allegato A2 – Modello standard nomina Autorizzato
Luogo: , data: / /
ASL AL
<indirizzo e numero civico>
<CAP, città e provincia>
Il Direttore <inserire nome struttura xxx.xx>
Egregio Dott./Dott.ssa
<inserire nome e cognome>
<inserire ruolo e struttura organizzativa di appartenenza>
<inserire sede>
Oggetto: Conferimento d’incarico ed istruzioni a persone autorizzate al trattamento dei dati personali (ai sensi e per gli effetti del Regolamento UE 2016/679 - “GDPR”).
PREMESSO CHE:
• E’ in vigore e pienamente applicabile il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, il “GDPR”) che garantisce la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto di protezione dei dati personali;
• E’ in vigore il DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” e xx.xx. ii. (integrato, in particolare, con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679).
RICORDATO CHE:
• Ai fini della presente atto, per “Normativa Privacy Applicabile” si intendono il GDPR, integrato, in particolare, da leggi e provvedimenti nazionali, che specificano ulteriormente l’applicazione delle norme ivi contenute.
VISTO CHE:
• Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di "responsabilizzazione" di titolari e responsabili del trattamento che prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza;
• In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4 del GDPR, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del
trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante Privacy italiano in quanto misure atte a garantire e dimostrare "che il trattamento è effettuato conformemente" al regolamento (UE) 2016/679 (si veda art. 24, paragrafo 1, del regolamento (UE) 2016/679).
• Il GDPR, pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ai sensi dell’abrogato art. 30 del Codice), non ne esclude la presenza in quanto fa riferimento a persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile (si veda, in particolare, art. 4, n. 10, del regolamento (UE) 2016/679).
DATO ATTO CHE:
• il Commissario di ASL AL, in qualità di Titolare del Trattamento, ha designato, con DELIBERAZIONE n.
288 del 28/04/2020, la Dott.ssa Xxxxxxx Xxxxxxx della Società Netbrain S.r.l. di Torino, quale Responsabile della Protezione dei Dati Personali (RPD) di ASL AL, in conformità a quanto prescritto dall’art. 37 del GDPR.
• Il Titolare del trattamento ha inteso procedere alla nomina dei Soggetti Designati al trattamento dei dati personali, ai sensi dell’art. 2 – quaterdecies “Attribuzione di funzioni e compiti a soggetti designati” del D.Lgs. 196/2003 e ss.mm.ii, individuando, in coerenza con l’attuale assetto organizzativo dell’Azienda, i Dirigenti responsabili di Struttura organizzativa.
• il Titolare ha delegato ai Soggetti Disegnati il compito di nomina e coordinamento degli Autorizzati al trattamento dei dati Personali;
• L’ASL AL ha ritenuto di procedere alla nomina degli Autorizzati attraverso la designazione individuale mediante formale lettera di incarico;
• quali “Autorizzati al trattamento dei dati personali” si intendono tutti coloro i quali, a qualsiasi titolo, trattano7 i Dati Personali8, in virtù del rapporto di lavoro o di collaborazione instaurato con il Titolare, all’interno di ciascuna Struttura/Ufficio, sotto la diretta autorità del Titolare o per suo conto dei Soggetti Designati al trattamento o del Responsabile del trattamento.
7 Ai fini del GDPR per “trattamento” si intende, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4.2, GDPR).
8 Ai fini del GDPR per ”dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4.1, GDPR).
Tra i Dati Personali rientrano anche: categorie specifiche di dati personali tra cui:
• i dati relativi a categorie particolari di dati personali di cui all’art. 9, comma 1, del GDPR: ovvero i dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (i “Dati Particolari”);
• i dati penali di cui all’art. 10 del GDPR: dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (i “Dati Penali”).
• alla luce dell’art. 30 del GDPR, l’ASL AL ha proceduto alla predisposizione del “Registro delle attività di trattamento”, riportante per ciascuna Struttura Organizzativa le informazioni in ordine ai trattamenti effettuati dall’Azienda.
TUTTO CIO’ PREMESSO
il/la sottoscritto/a <<inserire titolo, nome e cognome, ruolo e struttura organizzativa di direzione/responsabilità>, in qualità di Soggetto Designato al trattamento dei dati personali, funzione delegatagli dal titolare del trattamento, ai sensi dell’ Art. 2 – quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) del D.Lgs. 196/2003 così come modificato e integrato dal D.Lgs. n. 101/2018,
LA DESIGNA QUALE
PERSONA AUTORIZZATA AL TRATTAMENTO DEI DATI PERSONALI
ai sensi e per gli effetti del GDPR e della normativa privacy applicabile.
Tale incarico è conferito per il trattamento dei dati personali inerenti le attività ordinariamente svolte nell’ambito della <inserire riferimenti alla Struttura Xxx.xx di appartenenza dell’Autorizzato>, in conformità e nei limiti delle proprie competenze, attuali e future, espresse nelle deliberazioni ed in tutte le altre disposizioni emesse dal Titolare o interne all’ASL AL, nonché nelle norme del C.C.N.L. di riferimento.
A tal fine, per conto del Titolare, vengono fornite le seguenti disposizioni ed istruzioni, in conformità al GDPR ed, in particolare, ai sensi dell’art. 29 del GDPR, che dovrà rispettare per l'assolvimento dell’incarico assegnato.
In questo ambito, Xxxx, dovrà rispettare le seguenti disposizioni.
• In ottemperanza alla vigente normativa privacy applicabile, Lei è tenuto nel compimento delle operazioni di trattamento in riferimento ai Dati Personali a:
o trattarli in modo lecito, corretto e trasparente nei confronti dell’Interessato
o raccoglierli e trattarli per determinate finalità;
o verificare, ove possibile, che siano esatti e, se necessario, aggiornarli;
o verificare che siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
o conservarli per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
o adottare tutte le misure tecniche e organizzative necessarie in maniera da garantire un’adeguata sicurezza nel trattarli.
• Nel trattare i dati personali, deve garantire il rispetto degli adempimenti privacy e deve operare garantendo la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati personali confidenziali e, di norma, soggetti ad un dovere di riservatezza. Pertanto, non si dovranno divulgare a terzi le informazioni di cui si è venuti a conoscenza.
• In caso di trattamento di Dati Particolari e/o di Dati Penali deve avere cura che le operazioni di trattamento avvengano nell’osservanza dei presupposti, delle garanzie e dei limiti stabiliti dal GDPR, nonché dalla leggi nazionali, dai regolamenti e dalla normativa interna all’Azienda.
• Informare, tempestivamente e senza ingiustificato ritardo, il Titolare e/o per suo conto il Soggetto Designato e il RPD/DPO, di ogni violazione di dati personali (cd. Personal data breach) che venga a
conoscenza, nel rispetto delle modalità indicate nelle procedure e nella documentazione Privacy dell’Azienda;
• Ogni evento attinente la sicurezza o eventuali violazioni di Dati Personali secondo quanto previsto dalle procedure aziendali da seguire in caso di data breach (cfr. gli artt. 33 e 34 del GDPR) cui si rinvia.
• La condotta tenuta in ogni fase di lavoro dovrà evitare che i dati personali siano soggetti a rischi di perdita o distruzione anche accidentale; che ai dati possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini istituzionali per i quali i dati sono stati raccolti e per i quali vengono trattati.
• In ogni fase del trattamento non si possono eseguire operazioni per fini non previsti tra i compiti assegnati e si potrà accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere tali compiti.
• Per il trattamento di dati personali relativi a “categorie particolari di dati personali9” di cui all’art. 9, comma 1, GDPR e, in particolare, per il trattamento dei dati relativi alla salute, deve adottare le specifiche cautele fornite dal Titolare e/o per suo conto dal Soggetto Designato, e/o dal Responsabile del trattamento finalizzate a garantire la segretezza delle informazioni trattate.
• Per i trattamenti dei dati personali che comportino l’uso di sistemi informatici e telematici (PC, PC portatile o altro), l’accesso a tali dati può avvenire solo attraverso password o codici di accesso secondo quanto disposto nel documento “Regolamento Aziendale di utilizzo delle postazioni di lavoro” e ss. mm. ii.
• In qualità di persona autorizzata al trattamento dei Dati Personali deve mantenere segreta e riservata la password di accesso agli strumenti informatici che utilizza per il proprio lavoro (come ad esempio, PC, Notebook), nonché ai software, agli applicativi, evitando di divulgarla a terzi. Nessun dato personale, su supporto magnetico, digitale o cartaceo, potrà essere lasciato incustodito.
• Tutto il materiale cartaceo contenente dati personali in argomento (in particolare, a titolo esemplificativo, le cartelle cliniche, i referti medici ed ogni altra documentazione sanitaria contenente dati sullo stato di salute del paziente) deve essere custodito con diligenza e conservato in maniera tale da non risultare facilmente visibile a persone terze o comunque a tutte le persone non autorizzate al trattamento o all’accesso delle informazioni.
Tali misure devono essere applicate anche a tutte le forme di riproduzione dei dati personali (ad es. pen drive, CD/DVD, fotocopie).
• Laddove previsto, deve provvedere alla registrazione, alla conservazione e all’archiviazione, sia in formato cartaceo che elettronico, della documentazione di supporto prodotta e/o ricevuta nello svolgimento delle attività di propria competenza, avvalendosi, ove esistenti, di archivi dedicati.
• Coadiuvare il Soggetto Designato nelle attività inerenti all’esercizio dei diritti dell’interessato;
• Supportare il Titolare e per suo conto i Soggetti Designati e/o il Responsabile del Trattamento nel mantenimento e l’aggiornamento del “Registro delle attività del Trattamento”, predisposto ai sensi
9 Per “categorie particolari di dati personali” si intendono i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale nonché i dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9, comma 1, GDPR).
dell’art. 30 del GDPR, riportante per ciascuna Struttura le informazioni in ordine ai trattamenti effettuati dall’Azienda.
• Il personale è tenuto a comunicare tempestivamente, qualora necessario, al RPD indicato in premessa, ogni circostanza idonea a determinare pericolo di dispersione o utilizzazione non autorizzata dei dati stessi nonché ogni evento legato a operazioni di trattamento di dati personali per finalità o con modalità diverse da quelle definite dall’ASL AL.
Ella, sarà tenuto all’osservanza di eventuali ulteriori istruzioni, rispetto a quelle elencate, che Le potranno, di volta in volta, essere fornite, dal Titolare del trattamento, anche per il tramite dei Soggetti Designati.
In qualunque circostanza Lei non abbia la certezza in merito alla correttezza di un’operazione di trattamento, deve rivolgersi senza indugio al Soggetto Designato e/o al Responsabile del trattamento.
Per l'espletamento dell’incarico assegnato, dovrà, pertanto, operare osservando le direttive del Titolare e/o del Responsabile, ove nominato, e nel rispetto dei principi sopra enunciati.
La presente nomina è determinata ai sensi della normativa applicabile in materia di protezione dei dati personali, in considerazione delle mansioni a Lei già attribuite nel contratto di lavoro in essere con il Titolare.
E’ stabilito che la presente nomina seguirà il dipendente o il collaboratore unitamente ai vari atti di nomina a nuovo incarico o spostamento senza necessità di ulteriori atti formali.
Resta inteso che la presente nomina avrà la medesima durata del suo rapporto di lavoro o di collaborazione con ASL AL e che, successivamente alla cessazione dello stesso, Lei non sarà più autorizzato/a ad effettuare alcun tipo di trattamento sui Dati personali e sarà, comunque, tenuto/a ad osservare il massimo riserbo su qualsiasi informazione o circostanza di cui fosse venuto/a conoscenza nel corso del suo percorso lavorativo presso l’ASL AL.
Nel firmare la presente nomina, Xxx si impegna formalmente all’obbligo legale di riservatezza dei trattamenti effettuati così come richiesto dal GDPR.
Distinti saluti Data
Il Soggetto Designato
<inserire nome e cognome>
Per presa visione dell’incarico ricevuto e accertamento della consapevolezza delle informazioni ricevute. Data
L’Autorizzato al Trattamento
<inserire nome e cognome>
5.1.3 Allegato A3 – Modello standard nomina Amministratore di Sistema
ASL AL
<indirizzo e numero civico>
<CAP, città e provincia>
Per il Titolare, <inserire titolo, nome e cognome>>
Egregio Dott./Dott.ssa
<inserire nome e cognome>
Oggetto: Atto di Designazione ad Amministratore di Sistema (ai sensi del provvedimento dell’Autorità Garante per la Protezione dei Dati Personali del 27 novembre 2008 ss.mm.ii).
L’Azienda Sanitaria Locale Alessandria (di seguito, “ASL AL”), con sede legale in xxx Xxxxxxx x.0, 00000 Xxxxxxxxxxx, rappresentata dal <inserire titolo, nome e cognome>, munito dei necessari poteri per il compimento del presente atto (di seguito, “il Titolare”),
PREMESSO CHE:
a) E’ in vigore e pienamente applicabile il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito, il “GDPR”) che garantisce la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto di protezione dei dati personali.
b) Il GDPR, integrato da leggi e provvedimenti nazionali, costituisce la disciplina applicabile al trattamento dei dati personali (di seguito, la “Normativa Privacy Applicabile”);
VISTO CHE:
a) E’ vigente, in quanto non in contrasto con la Normativa Privacy Applicabile, il Provvedimento del Garante per la Protezione dei Dati Personali “Misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema”, emanato in data 27/11/2008 e pubblicato sulla Gazzetta Ufficiale del 24/12/2008 e successive modifiche ed integrazioni;
b) Il suddetto Provvedimento richiede che si proceda alla designazione individuale degli Amministratori di Sistema (System Administrator), degli Amministratori di Base Dati (Database Administrator) o degli Amministratori di Rete (Network Administrator) che, nell’esercizio delle proprie funzioni, hanno accesso, anche limitato e/o occasionale, ai dati personali;
c) Gli Amministratori di Sistema esercitano le funzioni in un contesto che rende ad essi tecnicamente possibile l’accesso, anche fortuito, a particolari categorie di dati personali previste dall’art. 9 del GDPR, tra cui i dati relativi alla salute, e ai dati relativi a condanne penali e reati previsti dall’art. 10 del GDPR;
CONSIDERATO CHE:
a) Il <inserire titolo, nome e cognome>, dipendente del Titolare, nella sua qualità di <inserire ruolo>, tenuto conto della sua esperienza professionale, in particolare con riferimento alle capacità e
affidabilità dimostrate nello svolgimento delle proprie funzioni10, è in possesso dei requisiti richiesti dal Provvedimento per assolvere la funzione di AdS;
b) Il <inserire titolo, nome e cognome> ha confermato di possedere tutti i requisiti riconosciutigli dal Titolare, e indicati alla precedente lett. a), fornendo idonea garanzia al pieno rispetto delle vigenti disposizioni in materia di trattamento (ivi compreso il profilo relativo alla sicurezza) e, pertanto, ha manifestato la propria disponibilità ad assolvere l’incarico di AdS, ai sensi delle disposizioni dettate nel Provvedimento;
VALUTATA:
a) La necessità di assicurare che i trattamenti di dati personali di titolarità dall’ASL AL siano svolti nel pieno rispetto di qualsiasi disposizione prevista dalla Normativa Privacy Applicabile.
TUTTO CIO’ PREMESSO DESIGNA
il <inserire titolo, nome e cognome>
AMMINISTRATORE DI SISTEMA (“AdS”)
AUTORIZZANDOLO a compiere le attività e le mansioni svolte per conto dell’ASL AL e consentite in base al suo profilo di autorizzazione, così come descritte nel presente atto.
A tal proposito, è di seguito precisato l'elenco degli ambiti di operatività che Le sono consentiti quale Amministratore di sistema in base al profilo di autorizzazione assegnato:
• <inserire i riferimenti alle attività assegnate per ambito/settore/aree applicative>
• …………..
• ……………
• …………
L’elenco sopra riportato potrà essere modificato in base alle necessità aziendali. L’Amministratore di Sistema
ACCETTA LA DESIGNAZIONE
e, nel confermare la conoscenza degli obblighi che si assume in relazione alle prescrizioni dettate dal Provvedimento,
SI IMPEGNA A
• osservare, nell’adempimento dell’esercizio delle proprie funzioni, le istruzioni, attuali e future, impartite dal Titolare e/o dal responsabile interno11 del trattamento. In tal senso, l’Amministratore di Sistema opera quale persona autorizzata al trattamento di dati personali, ai sensi dell’art.29 del GDPR.
Tutti i dati di cui l’Amministratore di Sistema viene a conoscenza, devono essere trattati nel pieno rispetto della normativa sopra richiamata, del segreto professionale, degli obblighi di riservatezza ai quali è tenuto tutto il personale dell’ASL AL, considerando i suddetti dati confidenziali e, di norma, non soggetti ad alcuna divulgazione a terzi. Più in dettaglio, avrà cura di adottare le misure idonee a
10 La valutazione delle caratteristiche soggettive dell’Amministratore di Sistema dovrà essere eseguita dal <inserire funzione competente - ad es. responsabile gerarchico>.
11 I responsabili (interni) del trattamento, identificati dall’ASL AL, pur conservando la denominazione avuta finora, diventano soggetti che operano sotto l’autorità diretta del titolare ai sensi dell’art.29 del GDPR, ai quali l’Azienda – in forza di una propria scelta organizzativa ritenuta opportuna e compatibile con il quadro designato dal GDPR – attribuisce particolari deleghe nella gestione dell’organigramma privacy interno, conferendo, di fatto, la delega ad identificare i soggetti autorizzati al trattamento ai sensi dell’Art. 29 del GDPR (persone incaricate del trattamento ai sensi dell’art. 30 del Codice Privacy - articolo abrogato).
prevenire la distruzione, la perdita, la modifica, l’accesso o la divulgazione non autorizzata, in modo accidentale o illegale, dei dati personali conservati, anche alla luce delle indicazioni del Titolare e/o del responsabile interno;
• gestire il sistema informatico, in osservanza delle misure tecniche e organizzative adeguate adottate del Titolare per garantire, con riferimento ai trattamenti effettuati, un livello di sicurezza adeguato al rischio ai sensi dell'art. 32 del GDPR. Più in dettaglio, per il trattamento informatico delle particolari categorie di dati personali previste dall’art. 9 del GDPR, tra cui i dati relativi alla salute, e degli eventuali dati relativi a condanne penali e reati previsti dall’art. 10 del GDPR, avrà cura di tutelare la riservatezza e l’integrità delle relative banche dati;
• comunicare prontamente al Titolare e/o al responsabile interno del trattamento, seguendo le procedure adottate dal Titolare in materia di Incident Management, Personal Data Breach e altre applicabili allo specifico caso, qualsiasi situazione di cui sia venuto a conoscenza che possa compromettere il corretto e lecito trattamento dei dati personali;
• collaborare con il Titolare e/o il responsabile interno del trattamento per l’attuazione delle prescrizioni impartite dall’Autorità Garante per la protezione dei dati personali.
La informiamo, inoltre, che, ai sensi del punto 4.5 del Provvedimento Amministratori di Sistema, le sue attività compiute in qualità di AdS devono essere registrate dal Titolare, in ottemperanza alla normativa vigente, anche con particolare riferimento alle tutele di cui all’art. 4 della L. n. 300/70 (Statuto dei Lavoratori). Si rammenta, ad esempio, che, ai sensi del citato Provvedimento:
• l’operato dell’Amministratore di Sistema dovrà essere oggetto con cadenza almeno annuale, nei limiti consentiti dalle norme legali e contrattuali, di un’attività di verifica da parte del titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti di dati personali previste dalle norme vigenti;
• è prevista, mediante l’adozione di idonei sistemi, la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte dell’amministratore di sistema e la conservazione degli stessi per un congruo periodo, non inferiore a 6 mesi. I dati registrati a tale scopo dai sistemi non vengono utilizzati in alcun modo per il controllo a distanza dei lavoratori e le tecnologie utilizzate a tal fine sono compatibili con quanto disposto dalla normativa vigente in materia.
La presente designazione ha validità per tutta la durata del rapporto contrattuale intercorrente tra il Titolare e l’ADS, salva la facoltà di revoca, in qualsiasi momento, del Titolare.
La perdita accertata da parte dell’AdS dei requisiti di cui al paragrafo a. del Provvedimento sopracitato alla lettera a) del CONSIDERATO di cui al presente atto, consentirà al Titolare di esercitare la facoltà di revoca mediante invio di una comunicazione scritta contenente la manifestazione di tale volontà.
In caso di cessazione, per qualunque causa, dell’efficacia del presente atto di designazione, l’AdS dovrà interrompere ogni operazione di trattamento dei dati, agevolando, per quanto di sua competenza, l’eventuale “passaggio di consegne” con il nuovo AdS designato dal Titolare.
In relazione a quanto sopra esposto, la preghiamo di voler restituire il presente atto di incarico sottoscritto per accettazione e presa visione.
Luogo: , data:
Per ricevuta e accettazione:
Per Il Titolare del trattamento <firma per nome e cognome>
L’Amministratore di Sistema <firma per nome e cognome>
5.1.4 Allegato A4 – Modello standard nomina Responsabile del Trattamento
ADDENDUM AL CONTRATTO <inserire i riferimenti>
Il presente Addendum disciplina le responsabilità dell’Azienda Sanitaria Locale Alessandria, con sede legale in Xxx Xxxxxxx x.0, 00000 Xxxxxxxxxxx, titolare del trattamento12 (l’Azienda o il “Titolare13”) e del Contraente (<inserire corretta tipologia del soggetto esterno cui sono affidate le operazioni di trattamento ad es. il Fornitore> o il “Responsabile”) ciascuno dei quali deve intendersi come “Parte” e congiuntamente come “Parti”, per gli aspetti relativi alla protezione dei dati personali ed integra il contratto <inserire i riferimenti> (il “Contratto”).
Le disposizioni indicate nel presente atto si riferiscono a qualsiasi dato personale14 trattato dal Contraente per conto dell’Azienda Sanitaria Locale Alessandria (di seguito per brevità “ASL AL”), in relazione ai servizi oggetto del Contratto, laddove tale trattamento rientri nel campo di applicazione del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“GDPR”).
Questo Addendum, stipulato in forma scritta in coerenza con l’art. 28, par. 9 del GDPR, è soggetto ai medesimi termini e condizioni del Contratto, salvo diversamente disposto e sarà considerato parte integrante dello stesso.
CONSIDERAZIONI
• È in vigore il Regolamento (UE) 2016/679 che garantisce la protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto di protezione dei dati personali.
• È in essere un Contratto tra l’Azienda e il Fornitore, stipulato in data <inserire data>, che ha per oggetto l’erogazione del/dei servizio/i di <specificare il servizio>.
• Ai sensi dell’art. 28, paragrafo 1, del GDPR, qualora un trattamento debba essere effettuato per conto del titolare, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.
• L’articolo 28, par. 3, del GDPR prevede che i trattamenti dei dati personali siano disciplinati da un contratto o da altro atto giuridico, che indichi alcune informazioni riguardanti il trattamento e che contenga alcune condizioni (così descritte nel seguito).
• Le Parti intendono integrare/modificare il contratto, come di seguito illustrato, in coerenza con le
disposizioni del GDPR <formulazione da inserire per contratti già conclusi>.
• A partire dalla data di entrata in vigore, al contratto è aggiunto il presente emendamento, che sostituirà la Lettera di nomina del responsabile del trattamento; <formulazione da inserire per i contratti già conclusi con conferimento dell’incarico mediante specifica lettera di Nomina a Responsabile del trattamento>.
12 Per “trattamento” si intende, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4 par. 2 del GDPR).
13 Per Titolare”, come definito ai sensi del Regolamento UE 2016/679 (“GDPR”), si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art 4 par. 7 del GDPR).
14 Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4 par. 1 del GDPR).
Sulla base di questo Addendum:
l’ASL AL, titolare del trattamento dei dati personali DESIGNA il Contraente <inserire i riferimenti>, che accetta l’incarico, "Responsabile del trattamento15”, ai sensi e per gli effetti degli articoli 4, par. 8 e 28 del Regolamento (UE) 2016/679 (“GDPR”).
Le Parti concordano l’osservanza delle seguenti DISPOSIZIONI
L’ASL AL è il Titolare dei dati personali e <inserire i pertinenti riferimenti del soggetto esterno, ad es. la denominazione sociale del Contraente> deve intendersi il responsabile del trattamento di tali dati, e ciascuna delle Parti deve uniformarsi alla vigente normativa sulla protezione dei dati personali, in quanto applicabile alle Parti nei loro rispettivi ruoli.
1. Il presente Addendum stabilisce:
a) oggetto del trattamento: è limitato ai Dati Personali del Titolare così come identificati in questo Addendum;
b) natura e finalità del trattamento: la prestazione dei servizi come definiti <inserire riferimento contrattuale: ad es. all’art.nn del Contratto>. I dati sono trattati per finalità
<inserire le finalità>;
c) tipologia di dati personali trattati: <es. dati personali comuni: dati identificativi quali nome e cognome, dati personali appartenenti a categorie particolari, quali dati sulla salute>
d) categorie di interessati: <inserire categoria: es. pazienti>;
e) durata del trattamento: <inserire I termini temporali, ad es. la medesima durata del Contratto>.
2. Nell'espletamento dell’incarico, il Fornitore, nella qualità di responsabile del trattamento, tratterà i dati personali del Titolare conformemente alle istruzioni di trattamento di seguito enunciate dal Titolare di cui al Contratto e a questo Addendum, se non diversamente previsto dalla legge. I trattamenti eseguiti dal Fornitore dovranno essere svolti nel pieno rispetto delle previsioni legislative vigenti in materia di protezione dei dati personali, nonché tenendo conto dei provvedimenti e dei comunicati ufficiali emessi dall'Autorità Garante per la Protezione dei Dati Personali.
3. Il Fornitore garantirà che le persone autorizzate al trattamento (<è possibile aggiungere su richiesta del titolare: inclusi i subfornitori, termine che include anche gli affiliati del Fornitore e i rispettivi consulenti, sub-responsabili, dipendenti e prestatori di servizi del Fornitore>) siano vincolate da un obbligo, legalmente assunto, di riservatezza. Le persone autorizzate al trattamento operano sotto la diretta responsabilità del Fornitore.
4. Il Fornitore, dovrà eseguire i trattamenti in modo non incompatibile con le finalità per cui i dati sono stati raccolti e trattati. Qualora sorgesse la necessità di effettuare trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, Il Fornitore dovrà preventivamente informare il Titolare.
15 Per “responsabile del trattamento” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare (art. 4 par. 8 del GDPR).
5. Il Fornitore adotterà misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali del Titolare in coerenza ed ai sensi dell’articolo 32 del GDPR e delle vigenti pertinenti disposizioni. In particolare, tenuto conto dello stato dell’arte delle misure di sicurezza applicabili, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento e, sulla base delle risultanze derivate dall'analisi dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Fornitore attiverà le misure adeguate per proteggere i dati personali, in particolare e ad esempio dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi dal Titolare, conservati o comunque trattati.
Tali misure comprendono, tra le altre:
a) la cifratura dei dati personali;
b) misure idonee a garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) misure idonee a garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;
d) procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
6. Il Fornitore dovrà specificare, su richiesta del Titolare, i luoghi dove fisicamente avviene il trattamento dei dati e su quali supporti e le misure minime di sicurezza adottate per garantire la riservatezza e la protezione dei dati personali trattati;
7. Il Fornitore, dovrà attivare le necessarie procedure aziendali, per identificare ed istruire tutto il personale autorizzato al trattamento dei dati personali ed organizzarli nei loro compiti in maniera che le singole operazioni di trattamento risultino coerenti con le disposizioni di cui alla presente Addendum, facendo anche in modo che, sulla base delle istruzioni operative loro impartite, i trattamenti non si discostino dalle finalità istituzionali per cui i dati sono stati raccolti e trattati. Il Fornitore si impegna a far svolgere attività di formazione in materia di protezione dei dati personali, ai propri dipendenti e ai collaboratori autorizzati al trattamento.
8. Il Fornitore, se richiesto per iscritto dell’ASL AL, dovrà cancellare e/o restituire tutti i dati personali al termine della prestazione dei servizi relativi al trattamento e cancellare tutte le copie esistenti in qualsiasi formato e/o supporto. Il Fornitore fornirà attestazione scritta dell’avvenuta distruzione dei dati personali del Titolare.
9. Il Fornitore assisterà l’ASL AL nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR16, tenuto conto della natura del trattamento e delle informazioni di cui dispone in qualità di Responsabile del trattamento.
a) Il Fornitore, ai sensi dell’art. 33 paragrafo 2, nel caso venga a conoscenza di una violazione dei dati personali (Data Breach), è tenuto ad informare tempestivamente e senza ingiustificato ritardo l’ASL AL. Nell’ipotesi di un Data Breach, il Fornitore dovrà collaborare (obbligando i suoi sub-responsabili o sub-fornitori a cooperare) con il Titolare nell’indagine sul data Breach e su quanto correlato alla gestione dello stesso, nell’ambito di apposite procedure adottate dal Titolare e/o attivate dal Fornitore, nel rispetto dei tempi concordati tra le Parti e dei termini di legge.
16 Art. 32 “Sicurezza del trattamento”; art. 33 “Notifica di una violazione dei dati personali all’autorità di controllo”; art. 34 “Comunicazione di una violazione dei dati personali all’interessato”; art. 35 “Valutazione d’impatto sulla protezione dei dati”; art. 36 “Consultazione preventiva”.
10. Il Fornitore assisterà il Titolare, per quanto ragionevolmente e tecnicamente possibile, con misure tecniche ed organizzative adeguate qualora sia necessario dare seguito a specifiche richieste di esercizio dei diritti dell’interessato, così come enunciati dal Capo III del GDPR, inclusi il diritto di accesso, rettifica, cancellazione, portabilità e il diritto di limitazione o opposizione a taluni trattamenti.
11. Opzione 1 (autorizzazione generale)
L’ASL AL, ai sensi dell’art 28 par. 2 del GDPR, autorizza Il Fornitore ad avvalersi di soggetti terzi, Responsabili del trattamento (responsabili o sub-responsabili), per l’esecuzione di specifiche attività rientranti nell’oggetto del contratto in essere tra le parti.
Il Fornitore renderà noto al Titolare la lista dei responsabili/sub-responsabili autorizzati al trattamento dei dati personali del Titolare e le attività di trattamento delegate.
Il Fornitore informerà tempestivamente, attraverso comunicazione scritta, il Titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di uno o più responsabili del trattamento, dando così al Titolare l’opportunità di opporsi a tali modifiche.
Le Parti concordano nel disciplinare mediante apposita procedura la gestione del processo di modifica della designazione a responsabile.
Opzione 1 bis (autorizzazione specifica)
L’ASL AL, ai sensi dell’art 28 comma 2 del GDPR, autorizza Il Fornitore ad avvalersi del fornitore o sub- fornitore <inserire denominazione sociale del Contraente>, quale responsabile del trattamento, per l’esecuzione di specifiche attività di trattamento rientranti nell’oggetto del contratto in essere tra le Parti.
Il Fornitore informerà tempestivamente, attraverso comunicazione scritta, il Titolare di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di uno o più responsabili del trattamento, dando così al Titolare l’opportunità di opporsi a tali modifiche.
Le Parti concordano nel disciplinare mediante apposita procedura la gestione del processo di modifica della designazione a responsabile.
Opzione 2 (autorizzazione negata)
L’ASL AL ai sensi dell’art 28 comma 2 del GDPR non autorizza il Fornitore, ad avvalersi di soggetti terzi, Responsabili del trattamento, per l’esecuzione di specifiche attività rientranti nell’oggetto del contratto in essere tra le parti.
Clausola valida per Opzione 1 e 1 bis. Il Fornitore informerà tempestivamente l’ASL AL del ricorso a un altro responsabile del trattamento e procederà alla designazione di tale altro responsabile, imponendo, mediante contratto o altro atto giuridico, i medesimi obblighi in materia di protezione dei dati contenuti nel presente Addendum, prevedendo in particolare, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, Il Fornitore conserverà nei confronti dell’ASL AL l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile, così come disposto dall’art. 28, paragrafo 4 del GDPR.
<clausola da aggiungere se il soggetto esterno svolge funzioni di Amministratore di Sistema>.
Il Fornitore si impegna ad adottare, per conto del Titolare, ogni misura idonea a garantire l’osservanza del provvedimento del Garante per la Protezione dei dati Personali emanato in data 27 novembre 2008 e successive modifiche e integrazioni: “Misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati
con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema” (di seguito “Provvedimento AdS”).
In particolare, il Fornitore dovrà valutare la sussistenza dei requisiti previsti dal Provvedimento AdS per la selezione del personale da designare come amministratore di sistema (di seguito “AdS”), e dovrà provvedere, una volta individuato tale personale, a effettuare le designazioni individuali previste dal Provvedimento AdS di coloro i quali svolgano funzioni dedicate alla gestione e alla manutenzione delle apparecchiature di elaborazione del Titolare con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi, le reti locali e gli apparati di sicurezza.
Il Fornitore, al momento della sottoscrizione del presente atto e comunque con cadenza almeno annuale, dovrà comunicare al Titolare (scrivendo al Responsabile della SC Sistemi Informativi dell’ASL AL), gli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema, di Base Dati e/o di Rete.
Il Fornitore dovrà consentire all’ASL AL l’esercizio, con cadenza almeno annuale, delle attività di verifica dell’operato degli Amministratori prescritte dal Provvedimento AdS.
In coordinamento con il Fornitore, il Titolare si riserva di adottare misure tecniche ed organizzative idonee ai fini di assolvere ai compiti per esso assegnati dal provvedimento sopra citato in materia di tenuta degli elenchi nominativi degli “AdS” e di gestione dei log di accesso ai sistemi del Titolare.
12. In caso di trasferimento di dati personali del Titolare verso un paese terzo, extra UE, o un’organizzazione internazionale, ad esempio perché il Fornitore o l’eventuale sub-responsabile è stabilito in un paese extra UE, il Fornitore garantisce per conto del titolare un livello di protezione dei dati personali adeguato, nel rispetto delle norme di cui al Capo V del GDPR (art. 44 e seguenti). Le parti prendono atto dell’applicazione delle pertinenti disposizioni di cui all’art. 28 par. 3, lett. a), del GDPR e cooperano per l’esecuzione degli obblighi.
13. Il Fornitore renderà disponibili al Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli adempimenti normativi previsti dall’art.28 del GDPR e degli impegni stabiliti in questo Addendum, consentendo al Titolare di effettuare periodicamente un’attività di verifica, comprese ispezioni realizzate dal Titolare stesso o da un altro soggetto da questi incaricato, in base ad una procedura stabilita di comune accordo delle Parti. Il Fornitore, qualora secondo la sua opinione, una prescritta disposizione di questo Addendum violi il GDPR o la normativa (europea o nazionale) vigente applicabile, informerà immediatamente l’ASL AL.
Spese sostenute dal Contrante.
Per quanto concerne le spese sostenute dal Contraente si rimanda a quanto disciplinato nel contratto.
In mancanza di regolamentazione, nel caso in cui sia necessaria una spesa correlata all’ambito della protezione dei dati personali, incluso il pagamento di eventuali sanzioni, troverà applicazione quanto segue:
<inserire quanto concordato tra le Parti>
Modifiche normative e interpretative.
Per quanto concerne le tutele da adottare dalle Parti in caso di modifiche, integrazioni normative e interpretative di norme, incluse quelle in materia di protezione dei dati personali, si rimanda a quanto disciplinato nel contratto.
In mancanza di regolamentazione, troverà applicazione quanto segue:
<inserire quanto concordato tra le Parti>
<oppure> le Parti si accorderanno mediante altra pattuizione e opereranno, ove necessario, le opportune modifiche ai termini del Contratto e del presente Addendum.
******************
Con la sottoscrizione del presente Addendum, <inserire denominazione sociale del Contraente >, accetta l’incarico di RESPONSABILE DEL TRATTAMENTO, ai sensi e per gli effetti delle disposizioni contenute negli articoli 4. par. 8 e 28 del GDPR, con riguardo alle operazioni di trattamento connesse all’esecuzione del suddetto contratto e, in ottemperanza di quanto disposto dall’art. 28 del GDPR, dichiara che le operazioni di trattamento dei dati personali del Titolare avverrà in conformità a quanto previsto dal GDPR, attenendosi al presente Addendum e alle istruzioni impartite dal Titolare.
La validità del presente Xxxxxxxx si intende altresì estesa ad ulteriori, eventuali proroghe contrattuali; ogni altra pattuizione resta pienamente confermata ed impregiudicata.
In relazione a quanto sopra esposto, La preghiamo di voler restituire all’ASL AL il presente atto sottoscritto per approvazione ed accettazione.
<inserire formula di saluto>
Per accettazione:
Azienda Sanitaria Locale Alessandria <inserire denominazione per esteso>
<firma per esteso nome e cognome> <firma per esteso nome e cognome>
Per il Titolare , Firma del Legale Rappresentante Per il Responsabile, Firma del Legale Rappresentante
Data Data