CONTRATTO DI FORNITURA TRA AZIENDA USL DI BOLOGNA, AZIENDA USL DI IMOLA E OSPEDALI PRIVATI ASSOCIATI AIOP PER LA FORNITURA DI PRESTAZIONI SANITARIE
CONTRATTO DI FORNITURA TRA AZIENDA USL DI BOLOGNA, AZIENDA USL DI IMOLA E OSPEDALI PRIVATI ASSOCIATI AIOP PER LA FORNITURA DI PRESTAZIONI SANITARIE
TRA
AZIENDA USL DI BOLOGNA, codice fiscale 02406911202, nella persona del suo Legale Rappresentante Dr Xxxxx Xxxxxx, Direttore Generale dell'Azienda USL di Bologna, domiciliato per la carica in xxx Xxxxxxxxxxx 00;
e
AZIENDA US.L. DI IMOLA, codice fiscale 90000900374, nella persona del suo Legale Rappresentante Dr. Xxxxxx Xxxxx, Direttore Generale dell'Azienda U.S.L. di Imola, domiciliato per la carica in xxx Xxxxxxxx 0, Xxxxx;
e
AIOP Associazione Italiana Ospedalità Privata, nella persona del Presidente della provincia di Bologna, Dr. Xxxxxxxx Xxxx con sede in Xxx Xxxxxxxx 00, Xxxxxxx, che tratta per gli Ospedali Privati della Provincia di Bologna Villa Baruzziana, Ai Colli, Villa Erbosa, Ospedali Riuniti (Nigrisoli e Villa Regina), Villa Xxxxx, Villa Chiara, Prof. Nobili, Villa Bellombra, Villa Torri, Santa Viola.
Richiamato:
• l’Accordo Quadro regionale AIOP-RER valevole per gli anni 2016-2018, di cui alla d.g.r. 1541/2020;
• il protocollo di intesa tra Regione Xxxxxx Xxxxxxx e l’Associazione Italiana di Ospedalità Privata (AIOP) – sezione Xxxxxx Xxxxxxx, per la regolamentazione dei rapporti finalizzati alla fornitura di prestazioni ospedaliere, (Prot. N. RP/2019/630 del 21.11.2019), con cui è stato prorogato sino al 31 dicembre 2019 l’accordo di cui alla d.g.r. 2329/2016 e sono state definite le linee di indirizzo dell’Accordo quadro per gli anni successivi al 2019;
• il protocollo di intesa tra Regione Xxxxxx Xxxxxxx e l’Associazione Italiana di Ospedalità Privata (AIOP) – sezione Xxxxxx Xxxxxxx per la regolamentazione dei rapporti finalizzati alla fornitura di prestazioni ospedaliere – 2020, di cui alla d.g.r. 1541/2020, con cui è stato prorogato sino al 31 dicembre 2020 l’accordo di cui alla d.g.r. 2329/2016 e sono state definite, per la parte economica, le linee di indirizzo per la determinazione del Budget e delle misure di rivalutazione tariffaria;
• il Contratto di Fornitura sottoscritto tra le Aziende UUSSL della Provincia di Bologna e AIOP- Provincia di Bologna valevole per gli anni 2016-2018 e prorogato all’anno 2019 con verbale di intesa siglato il 08/08/2019.
Preso atto che il sopracitato contratto di fornitura locale è realizzato in conformità alla normativa vigente, fatto salvo gli adeguamenti che si rendono necessari in tema di privacy e anticorruzione.
Precisato che:
• in conformità ai contenuti dell’Accordo Quadro tra RER e AIOP per la regolamentazione dei rapporti finalizzati al coinvolgimento degli Ospedali Privati Accreditati nella rete Ospedaliera regionale della Gestione dell’Emergenza COVID (recepito con d.g.r. 344/2016), il settore privato si è impegnato, mettendo a disposizione la propria rete, a far fronte a qualunque esigenza di erogazione di prestazioni richieste dalla Regione garantendo la propria operatività e la profusione delle proprie energie al massimo grado di collaborazione;
• in data 02 novembre 2020 è stato siglato il contratto tra AUSL di Bologna e AIOP per il coinvolgimento degli ospedali privati associati AIOP nella rete ospedaliera della gestione dell'emergenza covid-19.
Preso atto, inoltre, che le strutture private accreditate si impegnano anche a collaborare ai programmi di riduzione delle liste di attesa per ricoveri chirurgici programmati, così come previsto dalla DGR 272/2017 e dagli obiettivi indicati nella determina 7249/2017.
Richiamata:
• la nota RER PG/2020/117030 ad oggetto: Avvio progettualità per la garanzia dei tempi di attesa ed il recupero della mobilità passiva;
• la d.g.r. 404 /2020 ad oggetto “Primi provvedimenti per il riavvio dell’attività sanitaria programmata in corso di emergenza COVID-19”.
Considerato necessario prorogare all’anno 2020 il Contratto di fornitura locale, integrando i contenuti economici alla luce del sopracitato protocollo d’intesa RER-AIOP valevole per il 2020, che funge da quadro regolatorio di riferimento per la contrattazione a livello locale.
Precisato che nel protocollo d’intesa AIOP-RER è disposto che l’adeguamento tariffario e di budget sarà riconosciuto esclusivamente alle strutture private che applicheranno, per tutto il proprio personale dipendente di area comparto che operi nell’area di attività del protocollo, il nuovo CCNL AIOP-ARIS della ospedalità privata.
Tutto ciò richiamato e premesso, si concorda quanto di seguito indicato:
ART.1 (OGGETTO)
Il contratto fra l’Azienda Unità Sanitaria Locale di Bologna, l’Azienda Unità Sanitaria Locale di Imola e l’AIOP della Provincia di Bologna 2016-2018, prorogato all’anno 2019 con verbale di intesa siglato il 8/08/2019, è prorogato sino al 31.12.2020 per quanto riguarda l’offerta e gli obiettivi di appropriatezza e produzione, se non modificati e integrati da specifici piani di produzione concordati fra i singoli Ospedali Privati Accreditati e le Aziende USL di Bologna e di Imola nel corso del 2020, sia per la parte normativa e economica.
In riferimento al coinvolgimento degli Ospedali Privati Associati AIOP nella rete ospedaliera della gestione dell'emergenza COVID-19 si richiamano i contenuti del contratto di fornitura siglato tra l’Azienda Unità Sanitaria Locale di Bologna e l’AIOP della Provincia di Bologna in data 02/11/2020.
Le parti concordano, inoltre, di sviluppare specifiche progettualità per la riduzione dei tempi di attesa per le prestazioni chirurgiche.
Gli Ospedali Privati Accreditati, nell’ambito del budget 1 di ciascun OPA, si rendono disponibili ad eseguire interventi chirurgici su pazienti in lista di attesa presso l’Azienda USL di Bologna e l’Azienda Ospedaliero Universitaria. Il fabbisogno attuale è il seguente:
• Ernia inguinale/crurale: 591 interventi
• Safene: 128 interventi
• Varici arti inferiori: 302 interventi
• Varicocele/Idrocele: 225 interventi
• Fimosi: 383 interventi
Tale impegno proseguirà anche nel 2021.
Il regime di erogazione delle prestazioni deve rispettare i criteri di appropriatezza previsti dalle regole di classificazione e codifica della Regione Xxxxxx-Romagna. Possono essere previsti, in stretta correlazione alle caratteristiche dei pazienti le seguenti modalità di gestione del paziente:
• ricovero ordinario di 1 giorno;
• day hospital;
• ambulatoriale.
I pazienti inseriti nelle liste di attesa di AUSL di BOLOGNA e di AOU di Bologna verranno contattati dalle Strutture pubbliche per acquisire la disponibilità al trasferimento della presa in carico presso l’OPA designato.
Di seguito le indicazioni operative:
1) L’assegnazione e la presa in carico saranno formalizzate dall’Azienda USL/AOU di Bologna e l’OPA attraverso la compilazione di una scheda con i dati essenziali dei pazienti che hanno accettato la proposta di essere operati nella struttura sanitaria proposta (Allegato A)
2) L’OPA comunicherà al RUA Coordinatore della Città Metropolitana di Bologna l’effettuazione dell’intervento chirurgico ai fini della cancellazione dalla lista di attesa con cadenza settimanale tramite apposita modulistica (Allegato B)
3) Il Consenso del paziente al trasferimento verrà registrato sulla LISTA ATTESA INFORMATIZZATA dell’AUSL di Bologna o dell’AOU al momento della convocazione da parte del personale dell’AUSL/AOU, secondo indicazioni contenute nella 272/17 e successive linee di indirizzo
4) La motivazione del trasferimento sul registro informatizzato AUSL Bologna sarà: “garanzia dei tempi d’attesa”1
5) Il paziente che accetta il trasferimento all’OPA viene successivamente contattato dalla struttura, rispettando lo score assegnato, per essere valutato dai professionisti ivi operanti.
6) Nel caso che lo specialista non ritenga la struttura idonea all’esecuzione del tipo di intervento rinvierà il paziente in carico alla AUSL/AOU di provenienza (di tale decisione è indispensabile avere notifica tramite pec) e il paziente resterà in lista presso AUSL/AOU di Bologna
7) ll preoperatorio, comprendente il tampone orofaringeo per Covid-19, verrà eseguito a cura dell’OPA secondo le linee di indirizzo Regionali del 2 maggio 2018 già applicate presso la struttura e le successive indicazioni
8) Il paziente riceverà notifica del giorno di esecuzione dell’intervento il giorno stesso in cui l’Anestesista lo riterrà idoneo al medesimo e dopo aver preso visione del referto NEGATIVO del tampone orofaringeo per Covid-19
9) Sarà cura dei professionisti dell’OPA fornire al paziente le istruzioni in merito ai farmaci eventualmente da sospendere
10)La presa in carico post-intervento sarà in capo ai professionisti dell’OPA.
11)I pazienti che hanno acconsentito al trasferimento presso l’OPA verranno inviati a cura del preoperatorio dell’AUSL/AOU di Bologna per eseguire presso tale struttura gli esami preoperatori in gruppi di 12 per settimana (24 la prima settimana) fino ad esaurimento della casistica;
12)L’allegato A compilato, contenendo dati sensibili, verrà inviato dal RUA Coordinatore all’OPA tramite pec;
13)L’allegato B compilato, contenendo dati sensibili, verrà inviato in AUSL/AOU (Xxx.xx RUA Coordinatore) dall’OPA tramite pec con cadenza settimanale;
14)I pazienti che rinunciano all’intervento dopo aver accettato il trasferimento all’OPA non rientreranno nella lista d’attesa come coloro di cui al punto n. 6. Per essere sottoposti ad eventuale intervento dovranno essere rivalutati da uno specialista del sistema pubblico ed eventualmente inseriti nuovamente in lista d’attesa. Tale casistica non potrà quindi giovarsi di essere stata già in lista d’attesa presso l’AUSL/AOU.
1Al fine di garantire i tempi previsti per la classe assegnata è necessario attuare sinergie di rete tra aziende pubbliche e del privato accreditato a livello provinciale così come previsto dalla DGR 272/174 che recita come segue: "...La medesima finalità di garanzia dei tempi deve essere perseguita rafforzando le sinergie di rete in primo luogo all'interno della rete ospedaliera pubblica in ambito distrettuale e/o provinciale, successivamente, ricercando sinergie con il privato accreditato che insiste nell'area territoriale di competenza, attraverso la finalizzazione della committenza. Le sinergie di rete ai vari livelli dovranno garantire all'utente l'offerta di un'eventuale sede alternativa, nel rispetto della libera scelta del cittadino, in caso di mancata garanzia dei tempi di attesa”
L’attività verrà retribuita agli OPA, secondo le tariffe previste dalla normativa regionale per l’attività di ricovero e di specialistica ambulatoriale vigente tempo per tempo, nell’ambito del budget 1 dell’OPA e dovrà essere fatturata separatamente dalla restante attività, in modo da facilitarne il controllo e il monitoraggio da parte dell’AUSL di Bologna.
Le Strutture si impegnano, altresì, a:
• aderire nel più breve tempo possibile alla rete SOLE, al fine di garantire il recupero della ricetta dematerializzata e l’invio dei referti al Fascicolo Sanitario Elettronico del paziente, ed essere in linea con le regole del Piano Regionale Governo Liste di Attesa PRGLA 2019- 2021 (dgr 603/2019):
• ad ottemperare agli obblighi informativi previsti dal Ministero della Salute per il monitoraggio delle Grandi Apparecchiature Sanitarie (GrAp) in uso presso le strutture, sulla base di quanto previsto dal DM 22.04.2014 e indicato nella nota della Direzione Generale Cura della Persona Salute e Welfare prot. PG/2019/0787986.
ART. 2 (ASPETTI ECONOMICI)
Per quanto riguarda l’applicazione delle misure economiche e di rivalutazione tariffaria si recepisce integralmente quanto indicato nel protocollo d’intesa AIOP-RER DGR 1541/2020.
ART. 3 (TRATTAMENTO DEI DATI PERSONALI: NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679)
In merito all’applicazione del Regolamento UE 2016/679 (di seguito “GDPR”) e del D.Lgs. 196/03 (di seguito “Codice”) le parti si danno reciprocamente atto che Titolare del trattamento è l’Azienda USL.
Le Aziende pubbliche in qualità di Titolare del trattamento, limitatamente ai trattamenti necessari alla corretta esecuzione del rapporto contrattuale, solo con riferimento ai dati personali trasmessi, in accompagnamento ai pazienti ricoverati-conseguenza di invii da parte dei presidi ospedalieri dell’Azienda USL, mediante sottoscrizione del presente atto, nomina Villa Baruzziana s.p.a., Casa di Cura Ai Colli s.r.l., Villa Erbosa s.p.a., Ospedali Privati Riuniti s.r.l. (Villa Regina e Nigrisoli), Casa di Cura Villa Xxxxx s.r.l., Villa Xxxxxx s.p.a., Casa di Cura Prof. Nobili s.p.a., Casa di Cura Villa Bellombra s.p.a., Villa Torri Hospital s.r.l., Ospedale Privato Santa Viola s.r.l. – rappresentate ai fini del presente contratto da AIOP, nella persona del presidente della provincia di Bologna, che opera in nome e nell’interesse delle stesse – quali Responsabili del trattamento allo scopo di procedere al corretto trattamento dei dati relativi all’oggetto del presente contratto (ALLEGATO 1 “DESCRIZIONE DELLE ATTIVITÀ DI TRATTAMENTO”).
Il Responsabile del trattamento è tenuto:
1. ad adottare opportune misure atte al rispetto dei requisiti del trattamento dei dati personali previste dall’art. 5 del GDPR;
2. ad adottare le misure di sicurezza previste dall’art. 32 del GDPR, eventualmente indicate dal Titolare del trattamento, dal Garante per la protezione dei dati personali e/o dal Comitato Europeo con propria circolare, risoluzione o qualsivoglia altro provvedimento eventualmente diversamente denominato;
3. ad autorizzare i soggetti che procedono al trattamento, ai sensi e con le modalità di cui all’art. 29 del GDPR, secondo la procedura interna del medesimo e, comunque,
impegnando i medesimi soggetti autorizzati che non siano eventualmente tenuti al segreto professionale affinché rispettino lo stesso livello di riservatezza e segretezza imposto al Titolare del trattamento;
4. ad assistere il Titolare del trattamento, al fine di soddisfare l’obbligo di dare seguito alle richieste per l’esercizio dei diritti di cui Capo III del GDPR, ai sensi dell’art. 28, comma 1, lett. e) del GDPR.
In particolare, è fatto obbligo al Responsabile del trattamento di attenersi alle istruzioni impartite dal Titolare del trattamento, allegate al presente contratto e da considerare parte integrante dello stesso (ALLEGATO 2 “ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI
PERSONALI”), oltre a garantire che le operazioni di trattamento siano svolte secondo l’ambito consentito e nel rispetto dei singoli profili professionali di appartenenza, nel rispetto della riservatezza e confidenzialità dei dati.
Il Responsabile del trattamento con la sottoscrizione del presente atto s’impegna a prendere visione e ad attenersi scrupolosamente a tutte le indicazioni di cui alle procedure approvate con Deliberazione dell'AUSL di Bologna n.146/2019, rinvenibile al link: xxxxx://xxx.xxxx.xxxxxxx.xx/xxx- bologna/staff/anticorruzione-trasparenza-e-privacy/privacy/org/DEL146-2019DB e con Deliberazione dell'AUSL di Imola n. 102/2019, rinvenibile al link xxxxx://xxx.xxxx.xxxxx.xx.xx/xxxx/xx/xxxxx/XxxxxXxxxxxxxxx.xxx/X/XX/X/0%000Xx%000X0%000XX
.ece4eab03bdb5327d0d4/P/BLOB%3AID%3D7322/E/pdf
La presente designazione è da ritenersi valida per tutta la durata del rapporto contrattuale e si intende comunque estesa ad eventuali futuri contratti aventi ad oggetto servizi analoghi o prestazioni sanitarie ulteriori e che comportino un trattamento di dati personali da parte del Responsabile del trattamento, in nome e per conto del Titolare del trattamento.
Ai fini della responsabilità civile si applicano le norme di cui all’articolo 82 del GDPR.
Resta fermo che, anche successivamente alla cessazione o alla revoca del presente contratto, il Responsabile del trattamento dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare del trattamento delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
Per quanto non espressamente previsto nel presente articolo, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali, nonché alle disposizioni di cui al presente contratto.
ART. 4 (ADEMPIMENTI AI SENSI DELLA NORMATIVA ANTICORRUZIONE)
L’AUSL BO, in adempimento della L. 190/2012 e d.lgs. 33/2013 s.m.i., dichiara di aver adottato con Delibera n. 19 del 31.01.2020 il Piano triennale per la Prevenzione della Corruzione e della Trasparenza 2020-2022, rettificata con Delibera n. 24 del 31.01.2020, e con delibera n. 166 del 29.05.2018, il Codice di Comportamento Aziendale di cui al DPR 62/2013.
L’AUSL Imola, in adempimento della L. 190/2012 e d.lgs. 33/2013 s.m.i., dichiara di aver adottato con Xxxxxxxx n. 18 del 31.01.2020 il Piano triennale per la Prevenzione della Corruzione e della Trasparenza 2020-2022, e con delibera n. 112 del 25.05.2018, il Codice di Comportamento Aziendale di cui al DPR 62/2013.
Tali atti risultano regolarmente pubblicati sui siti internet aziendali all’indirizzo: xxxx://xxx.xxxx.xxxxxxx.xx/xxxxxxxxxxxxxxx-xxxxxxxxxxx/xxxxxxxxxxxx-xxxxxxxx. xxxxx://xxx.xxxx.xxxxx.xx.xx/xxxxxxxxxxxx-xxxxxxxx
L’AUSL BO e L’AUSL Imola si impegnano a rispettarne regole e principi in essi contenuti, dandone piena attuazione.
Parimenti le Strutture Private dichiarano di averne preso visione, garantendo il rispetto delle disposizioni in essi contenuti.
Il presente Contratto è soggetto alla pubblicazione ai sensi dell’art. 23, c. 1, lett. d) del d.lgs. 14/3/2013 N. 33 “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione delle informazioni da parte delle pubbliche amministrazioni”.
ART.5 (CLAUSOLE TRANSITORIE FINALI)
Il presente atto sarà assoggettato a imposta di registro solo "in caso d'uso" (con oneri a carico del richiedente), conforme alle previsioni di cui agli articoli 1 e 40 del D.P.R. n° 131 del 26.04.1986 "Testo unico delle disposizioni concernenti l'imposta di registro" e di cui all'articolo 1 - lettera b) – della tariffa – parte seconda allegata al citato D.P.R.
Il presente contratto è soggetto a imposta di bollo ai sensi del D.P.R. 26/10/1972 n. 642 e successive modificazioni.
Per qualsiasi controversia relativa al presente accordo, il foro competente è esclusivamente quello di Bologna.
Xxxxx, approvato e sottoscritto. Bologna, lì
Azienda USL di Bologna Il Direttore Generale Xxxx. Xxxxx Xxxxxx
Azienda USL di Imola Il Direttore Generale Xxxx. Xxxxxx Xxxxx
AIOP Provincia di Bologna Il Presidente
Dott. Xxxxxxxx Xxxx
Documento informatico firmato digitalmente ai sensi dell’art. 21 del D.lgs. 82/2005
ALLEGATI:
1. DESCRIZIONE DELLE ATTIVITÀ DI TRATTAMENTO
2. ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
A. TABELLA RIASSUNTIVA PAZIENTI ARRUOLATI PER OPA
B. TABELLA RIASSUNTIVA SETTIMANALE PAZIENTI OPERATI PRESSO OPA
ALLEGATO 1
DESCRIZIONE DELLE ATTIVITÀ DI TRATTAMENTO
(Ambito del trattamento - art. 28, paragrafo 3, GDPR a cura del Titolare del trattamento)
Categorie di interessati (ad es. persone fisiche pazienti/clienti/utenti del Titolare del trattamento) |
• persone fisiche |
Tipo di dati personali oggetto di trattamento (indicare se dati comuni, categorie particolari, dati relativi a condanne penali e reati) |
• categorie particolari di dati personali limitatamente ai trattamenti necessari alla corretta esecuzione del rapporto contrattuale, solo con riferimento ai dati personali trasmessi, in accompagnamento ai pazienti ricoverati, in conseguenza di invii da parte dei presidi ospedalieri dell’Azienda USL. |
Oggetto, natura e finalità del trattamento (ad es. descrizione sintetica del servizio di trattamento dati reso dal Responsabile del trattamento al Titolare del trattamento o fare specifico rinvio all’oggetto del contratto principale - se presente - stipulato con il Responsabile del trattamento: esecuzione di servizi in ambito sistemi informativi) |
• si rinvia all’oggetto del contratto sottoscritto tra Azienda USL di Bologna, Azienda USL di Imola e AIOP Associazione Italiana Ospedalità Privata, che tratta per gli Ospedali Privati della Provincia di Bologna Villa Baruzziana, Ai Colli, Villa Erbosa, Ospedali Riuniti (Nigrisoli e Villa Regina), Villa Xxxxx, Villa Chiara, Prof. Nobili, Villa Bellombra, Villa Torri, Santa Viola. |
ALLEGATO 2
ISTRUZIONI PER IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
Regolamento (UE) 2016/679 e D.Lgs 196/2003 come modificato dal D.Lgs 101/2018
Il Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento solo ed esclusivamente ai fini dell’esecuzione dei servizi oggetto dell'accordo nel rispetto della normativa vigente in materia di protezione dei dati personali, nonché delle seguenti istruzioni impartite dal Titolare del trattamento.
Misure di sicurezza (art. 32 GDPR)
Il Responsabile del trattamento, per quanto di propria competenza, è tenuto in forza di legge e del presente accordo, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa vigente in materia di trattamento di dati personali fornendo assistenza al Titolare del trattamento nel garantire il rispetto della medesima.
Il Responsabile del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
− distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;
− trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
Il Responsabile del trattamento applica le misure di sicurezza, di cui al punto precedente, al fine di garantire:
− se del caso, la pseudonimizzazione e la cifratura dei dati personali;
− la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
− la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Il Responsabile del trattamento è tenuto a implementare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, trasmettendo tempestivamente al Titolare del trattamento la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito adottate.
Il Responsabile del trattamento assicura l’utilizzo di strumenti, applicazioni e/o servizi che rispettino i principi di protezione dei dati personali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default).
Valutazione di impatto (art. 35 GDPR)
Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione dello stesso, assiste il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. 35 e 36 del GDPR.
Nello specifico:
− fornisce tutte le informazioni e tutti gli elementi utili al Titolare del trattamento per la effettuazione della valutazione di impatto sulla protezione dei dati, nonché dell’eventuale consultazione preventiva alla Autorità Garante;
− assicurare la massima cooperazione e assistenza per dare effettività alle azioni di mitigazione eventualmente previste dal Titolare del trattamento per affrontare possibili rischi identificati a seguito degli esiti della valutazione di impatto effettuata sui trattamenti di dati personali cui il Responsabile del trattamento concorre.
Registro delle attività di trattamento (art. 30 GDPR)
Il Responsabile del trattamento, ove ricorrano le ipotesi di cui all’art. 30 del Regolamento, dovrà tenere un registro ex art. 30.2 nel quale identifica e censisce i trattamenti di dati personali svolti per conto del Titolare del trattamento, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività oggetto del presente accordo.
Tale registro, da esibire, in caso di ispezione della Autorità Xxxxxxx, deve contenere:
− il nome e i dati di contatto del Responsabile del trattamento, del Titolare del trattamento per conto del quale il Responsabile agisce e, ove applicabile, del Data Protection Officer (DPO);
− le categorie dei trattamenti effettuati per conto del Titolare del trattamento;
− se del caso, i trasferimenti di dati personali verso paesi terzi, compresa l’identificazione del paese terzo e la relativa documentazione di garanzia;
− la descrizione generale delle misure di sicurezza tecniche ed organizzative applicate a protezione dei dati.
Data Breach (art. 33 GDPR)
Il Responsabile del trattamento deve fornire tutto il supporto necessario al Titolare del trattamento ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Nella misura in cui la violazione dei dati personali sia causata da una violazione del Responsabile del trattamento o dei suoi Sub-responsabili delle disposizioni del presente atto di nomina, dell'accordo o delle Leggi sulla protezione dei dati applicabili, tenendo conto della natura della violazione dei dati personali e del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche coinvolte, il Responsabile del trattamento, su istruzione di Titolare del trattamento, opererà tutti gli sforzi necessari per identificare e porre rimedio alla causa della violazione dei dati personali, per mitigare i rischi per i diritti e le libertà delle persone fisiche coinvolte e per assistere ulteriormente il Titolare del trattamento con ogni ragionevole richiesta nel rispetto delle leggi sulla protezione dei dati relative alle violazioni dei dati personali.
Si rinvia all’ALLEGATO 2 per quanto di competenza.
Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto del Titolare del trattamento.
Soggetti autorizzati allo svolgimento di operazioni di trattamento dei dati personali – Designazione
Il Responsabile del trattamento:
− provvede ad individuare le persone fisiche da nominare autorizzati al trattamento, attribuendo loro specifici compiti e funzioni e fornendo loro adeguate istruzioni scritte circa le modalità del trattamento dei dati;
− assicura competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali effettuati per conto del Titolare del trattamento;
− assicura che gli autorizzati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica consegnando al Titolare del trattamento, per il tramite dei Referenti privacy aziendali di riferimento, le evidenze di tale formazione;
− vigila sull’operato degli autorizzati, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento delle loro attività, anche successivamente alla cessazione del rapporto di lavoro/collaborazione con il Responsabile del trattamento. In ogni caso, il Responsabile del trattamento è ritenuto direttamente responsabile per qualsiasi divulgazione di dati personali da parte degli autorizzati.
Amministratori di sistema
Il Responsabile del trattamento, per quanto concerne i trattamenti effettuati per fornire il servizio oggetto del accordo dai propri incaricati con mansioni di “amministratore di sistema”, è tenuto altresì al rispetto delle previsioni contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre
2008 modificato in base al provvedimento del 25 giugno 2009, in quanto applicabili. Il Responsabile del trattamento, in particolare, si impegna a:
− designare quali amministratori di sistema le figure professionali da individuare e dedicare alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;
− predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate ed individuate quali amministratori di sistema e le funzioni ad essi attribuite, unitamente all’attestazione delle conoscenze, dell’esperienza, della capacità e dell’affidabilità degli stessi soggetti, i quali devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
− fornire il suddetto elenco al Titolare del trattamento, e comunicare ogni eventuale aggiornamento allo stesso;
− verificare annualmente l’operato degli amministratori di sistema, informando il Titolare del trattamento, circa le risultanze di tale verifica;
− mantenere i file di log previsti in conformità alle disposizioni contenute provvedimento dell’Autorità Garante sopra richiamato.
Sub-responsabile del trattamento
Per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento e previa autorizzazione scritta specifica da richiedere a quest’ultimo, il Responsabile del trattamento può ricorrere ad altro responsabile (c.d. Sub-responsabile del trattamento). In questi casi il Responsabile del trattamento si obbliga ad imporre per iscritto al Sub-responsabile del trattamento, mediante atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati personali cui lo stesso è soggetto, in particolare rispetto agli obblighi in materia di sicurezza. Nel caso in cui il Responsabile del trattamento ricorra ad un Sub-responsabile stabilito in un Paese extra-UE, sarà suo onere adottare adeguati strumenti per legittimare il trasferimento ai sensi degli artt. 44 e ss. del GDPR.
Il Titolare del trattamento può chiedere al Responsabile del trattamento:
− il rilascio di copia degli accordi stipulati tra Responsabile e Sub-responsabile del trattamento (omettendo le sole informazioni strettamente confidenziali e gli accordi economici, se del caso);
− l’esperimento di audit nei confronti dei propri Sub-responsabili del trattamento;
− conferma che gli audit sono stati condotti per dimostrare la conformità dei Sub-responsabili del trattamento alla normativa in materia di protezione dei dati personali, nonché alle istruzioni impartite dal Titolare del trattamento.
Il Responsabile del trattamento si impegna espressamente ad informare il Titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di eventuali Sub-responsabili del trattamento, dandogli così l’opportunità di opporsi a tali modifiche. Il Responsabile del trattamento non può ricorrere ai Sub-responsabili del trattamento nei cui confronti il Titolare del trattamento abbia manifestato la sua opposizione.
Qualora il Sub-responsabile ometta di adempiere ai propri obblighi, il Responsabile del trattamento conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’inadempimento degli obblighi del Sub- responsabile del trattamento. In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti del Titolare del trattamento per qualsiasi violazione od omissione realizzati da un Sub-responsabile del trattamento o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto
Data Protection Officer (DPO)
Tale comunicazione deve contenere il nome del Responsabile del trattamento, l'accordo di riferimento.
Il Titolare del trattamento comunica con la presente i riferimenti del proprio DPO:
xxx@xxxx.xxxxxxx.xx (Via Xxxxxxxxxxx 00 - 00000 Xxxxxxx - XX) - Tel: 000.0000000 - Mobile: 360.1029935
Attività di audit da parte del Titolare del trattamento
Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, compresi gli audit, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato. A tale scopo il Responsabile del trattamento riconosce al Titolare del trattamento, e dai terzi incaricati ai sensi dell’art. 28, par. 3, lett. h) GDPR, il diritto di accedere ai locali di sua pertinenza ove hanno svolgimento le operazioni di trattamento o dove sono custoditi dati o documentazione relativa al presente contratto. In ogni caso il Titolare del trattamento si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Tale attività può essere svolta dal Titolare del trattamento nei confronti del Sub- responsabile del trattamento o delegata dal Titolare stesso al Responsabile del trattamento.
Nel caso in cui all’esito degli audit effettuati dal Titolare del trattamento o da terzi incaricati, le misure tecniche, organizzative e/o di sicurezza adottate dal Responsabile del trattamento e/o Sub-responsabile del trattamento risultino inadeguate o, comunque, vengano riscontrate evidenze di violazioni gravi (ad es. la mancata informazione e formazione da parte del Responsabile al trattamento dei dati nei confronti dei propri soggetti autorizzati, la rilevazione di violazione a livello applicativo del sistema fornito) commesse dal Responsabile del trattamento o Sub-responsabile del trattamento dei dati personali, Il Titolare del trattamento ha facoltà di applicare una penale nelle modalità e nei termini stabiliti del accordo. Il rifiuto del Responsabile del trattamento e Sub-responsabile di consentire l’audit al Titolare del Trattamento comporta la risoluzione del contratto.
Trasferimento e trattamento di dati personali fuori dall’Unione Europea
Il Titolare del trattamento non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea, salvo casi eccezionali legati alla tipologia contrattuale, per i quali la specifica autorizzazione da richiedere al Titolare del trattamento è sottoposta alla valutazione del DPO.
Conservazione o cancellazione dei dati e loro restituzione
Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile del trattamento o del rapporto sottostante, il Responsabile del trattamento a discrezione del Titolare del trattamento sarà tenuto a:
− restituire al Titolare del trattamento i dati personali oggetti del trattamento
− provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).
In entrambi i casi il Responsabile del trattamento provvederà a rilasciare al Titolare del trattamento apposita dichiarazione per iscritto contenente l’attestazione che presso il Responsabile del trattamento non esista alcuna copia dei dati personali di titolarità del Titolare del trattamento. Il Titolare del trattamento si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione.
Ulteriori eventuali obblighi, se applicabili in base alla tipologia contrattuale in essere
Il Responsabile del trattamento:
− provvede al rilascio dell’informativa di cui all’art. 13 del GDPR, qualora il trattamento dei dati oggetto dell'accordo comporti la raccolta di dati personali per conto del Titolare del trattamento da parte del Responsabile del trattamento;
− collabora con il Titolare del trattamento per fornire tempestivamente tutte le informazioni necessarie e/o i documenti utili al fine di soddisfare l’obbligo in capo a quest’ultimo di dare seguito alle richieste degli interessati di cui al Capo III del GDPR (ad es.: esercizio dei diritti di accesso, rettifica, limitazione, opposizione al trattamento dei dati);
− collabora con il Data Protection Officer (DPO) del Titolare del trattamento, provvedendo a fornire ogni informazione dal medesimo richiesta;
− provvede ad informare immediatamente il Titolare del trattamento di ogni richiesta, ordine ovvero attività di controllo da parte dell’Autorità Garante per la protezione dei dati personali o dell’Autorità Giudiziaria;
− coadiuva, se richiesto dal Titolare del trattamento lo stesso nella difesa in caso di procedimenti dinanzi dalla suddette Autorità che riguardino il trattamento dei dati oggetto del contratto. A tal fine il Responsabile del trattamento fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza al Titolare del trattamento per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
Responsabilità e manleve
Il Responsabile del trattamento tiene indenne e manleva il Titolare del trattamento da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente accordo.
A fronte della ricezione di un reclamo relativo alle attività oggetto del presente accordo, il Responsabile del trattamento:
− avverte, prontamente ed in forma scritta, il Titolare del trattamento del reclamo ricevuto;
− non fornisce dettagli al reclamante senza la preventiva interazione con il Titolare del trattamento;
− non transige la controversia senza il previo consenso scritto del Titolare del trattamento;
− fornisce al Titolare del trattamento tutta l’assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
A fronte della ricezione di un reclamo relativo alle attività oggetto del presente accordo, il Responsabile del trattamento contatterà tempestivamente il Titolare del trattamento attendendo specifiche istruzioni sulle azioni da intraprendere.
Allegato A – Tabella riassuntiva pazienti arruolati da AUSL/AOU Bologna per OPA 2
COGNOME | NOME | DATA NASCITA | RESIDENZA | SETTING (DO/DH/DS) | Tipo Intervento | TEL 1 | Tel 2 | NOTE | CONSENSO? |
2
Inviare ogni settimana a pec: ……………..
Allegato B – Tabella riassuntiva settimanale pazienti operati presso OPA 3
NOSOLOGICO PAZIENTE | COGNOME | NOME | DATA NASCITA | ESAMI PREOPERATORI IL | DATA INTERVENTO | Tipo Intervento | SETTING (DO/DH/DS) | Provenienza4 | NOTE5 |
3 Inviare ogni lunedì tramite pec:…………………….
4 AUSL Bologna
5 Xxx Xxxxxxxxxx, paz non presentato