CENTRO DI RIFERIMENTO ONCOLOGICO DELLA BASILICATA

I. R. C. C .S.

Isti

C. R. O. B.

tuto di Ricovero e Cura a Carattere Scientifico

CENTRO DI RIFERIMENTO ONCOLOGICO DELLA BASILICATA

Rionero in Vulture (PZ)

Accordo Contrattuale per la nomina a

“Responsabile esterno del trattamento dei dati”

Ai sensi dell’Art. 28 del Regolamento UE 2016/679 (RGPD)

PREMESSO CHE

- Il Titolare del trattamento di dati personali, IRCSS CROB (di seguito Titolare) in persona del direttore generale quale rappresentante legale pro tempore- Sede Legale: Via Padre Pio n. 1, Rionero in Vulture, - C. F.: 93002460769 può proporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo quale responsabile al trattamento dei dati che, nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo di sicurezza;

- Il titolare può delegare tale nomina al designato al trattamento dei dati;

- il responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti richiesti dalle disposizioni pro tempore vigenti in materia di trattamento dei dati personali, e garantisca la tutela dei diritti dell'interessato;

- il responsabile deve procedere al trattamento secondo le istruzioni impartite dal Titolare per iscritto con il presente contratto e con eventuali accordi successivi;

- con il presente atto il Titolare autorizza l’accesso sia al responsabile che alle persone autorizzate al trattamento dal responsabile per i soli dati personali la cui conoscenza è necessaria per adempiere ai compiti loro attribuiti.

Con riferimento all’erogazione DELLA FORNITURA E RELATIVA GESTIONE DI PRODOTTI IN TESSUTO NON TESSUTO

OCCORRENTI ALLE SALE OPERATORIE DELL’ISTITUTO , aggiudicata con determinazione dirigenziale dell’Ufficio “Centrale di committenza e Soggetto Aggregatore” n. 20AB.2019/D.00093 del 24/05/2019 avente ad oggetto “Procedura aperta telematica per l’affidamento della fornitura e relativa gestione di prodotti in tessuto non tessuto occorrenti alle sale operatorie delle Aziende del Servizio Sanitario della Regione Basilicata SIMOG gara: 6937458 Aggiudicazione efficace”;

che comporta la necessità per quanto di interesse dell’IRCCS CROB di trattare dati di natura personale e/o particolare di cui siamo Titolari

TUTTO CIÒ PREMESSO

1) Il Titolare dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali (di seguito

“Titolare”), designa MEDICAL CENTER SOCIALE CODICE FISCALE E PARTITA IVA 01241060761, con sede legale in Tito Scalo (PZ)

– C/da Santa Loja, in persona del suo legale rappresentante                         , nato a xxxxxxxx e DOMICILIATO PER LA CARICA PRESSO LA SEDE LEGALE DELLA SOCIETA’ quale Responsabile dei trattamenti dei dati personali (di seguito “Responsabile”) effettuati in relazione ai servizi affidati;

2) La materia disciplinata dal presente accordo contrattuale è la nomina a Responsabile del trattamento di dati personali ai sensi

dell’Art. 28 del Regolamento Generale per la Protezione dei Dati (RGPD) per quanto concerne il servizio svolto dal Responsabile;

3) La durata del trattamento coincide, salvo diverse disposizioni, con la durata del servizio cui si fa riferimento;

4) La natura, la finalità, la tipologia dei dati coinvolti e la categoria degli interessati del trattamento riguardano tutti i dati personali il cui trattamento è necessario per lo svolgimento del servizio affidato al Responsabile il quale potrà trattare, in ragione del servizio oggetto del contratto anche dati personali particolari quali a titolo esemplificativo origine etnica, stato di salute degli

interessati.

5) Il Titolare affida al Responsabile tutte le operazioni di trattamento di dati personali necessari per dare piena esecuzione al Servizio.

6) In caso di danni derivanti dal trattamento, il Responsabile ne risponderà qualora non abbia adempiuto agli obblighi derivanti dalla normativa vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento (obblighi di cui all’articolo 28 RGPD) o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

7) Il Titolare si impegna a comunicare al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.

8) Il Responsabile o le persone autorizzate al trattamento non potranno effettuare nessuna operazione di trattamento dei dati al di fuori di quelle necessarie sopra ricordate.

9) Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa vigente in materia di trattamento di dati personali (Articolo 32 RGPD).

10) Il Responsabile, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un adeguato livello di sicurezza, in particolare contro distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, nonché ad evitare ogni trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.

11) Il Responsabile, su richiesta del Titolare, coadiuva quest’ultimo nelle procedure davanti all’Autorità di Controllo competente e

all’Autorità Giudiziaria in relazione alle attività rientranti nella sua competenza.

12) Il Responsabile, nei termini e secondo le modalità previste dalla normativa vigente, si impegna ad informare tempestivamente il Titolare in caso di violazioni di dati personali sotto la propria responsabilità e a fornire la più ampia collaborazione al Titolare nonché alle Autorità di Controllo al fine di soddisfare ogni obbligo imposto dalla normativa (es. notifica della violazione dei dati personali all’Autorità Controllo compente; eventuale comunicazione di una violazione dei dati personali agli interessati.

13) Il Responsabile, nell’ambito della propria struttura e organizzazione individuerà le persone fisiche autorizzate al trattamento fornendo loro adeguate istruzioni per iscritto circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente contratto.

14) Il Responsabile, inoltre, si farà cura di vincolare le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Responsabile, in relazione alle operazioni di trattamento da esse eseguite.

15) Il Responsabile si impegna a conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, e a fornirli prontamente al Titolare su richiesta del medesimo.

16) Nel caso in cui il Responsabile riceva istanze dagli interessati per l’esercizio dei diritti riconosciuti dalla normativa applicabile in materia di protezione dei dati personali dovrà:

a) darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta;

b) tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti degli interessati.

17) In particolare, ove applicabile e in considerazione delle attività di trattamento affidategli, il Responsabile dovrà:

a) permettere al Titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro Titolare;

b) permettere al Titolare di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.

18) Il Responsabile dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite in relazione al Servizio o derivanti da istruzioni scritte del Titolare, anche con riferimento all’eventuale trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile dovrà informare preventivamente il Titolare.

19) Col presente contratto, il Titolare autorizza il Responsabile a far ricorso a eventuali ulteriori responsabili del trattamento (“sub- responsabile/i”), nella prestazione del Servizio.

20) Nel caso in cui il Responsabile faccia ricorso a sub-responsabili, il Responsabile medesimo si impegna a selezionare i sub- responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Il Responsabile si impegna altresì a stipulare specifici contratti, o altri atti giuridici, con i sub- responsabili a mezzo dei quali il Responsabile descriva analiticamente i loro compiti.

21) Qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile riconosce di conservare nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dei sub-responsabili coinvolti, nonché si impegna a manlevare e tenere indenne il Titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione possa derivare al Titolare dalla mancata osservanza di tali obblighi e più in generale dalla violazione della applicabile normativa sulla tutela dei dati personali da parte del Responsabile e dei suoi sub-fornitori.

22) Il Titolare autorizza espressamente, altresì, il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali subfornitori, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali (e successive modifiche) adottate dalla stessa Commissione Europea con Decisione 2010/87/EU del 5 febbraio 2010.

23) Il Titolare dichiara, inoltre, che i dati da lui trasmessi al Responsabile:

a) sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

b) i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile.

24) Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione. A tale scopo il Responsabile riconosce al Titolare, e agli incaricati dal medesimo, il diritto di ottenere informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi dati o documentazione relativi al presente contratto.

25) In ogni caso il Titolare si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni fornite al Titolare a fini di verifica siano utilizzate solo per tali finalità.

26) Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte

del Responsabile o del Servizio, il Responsabile a discrezione del Titolare e su richiesta di quest'ultimo sarà tenuto a:

i) restituire al Titolare i dati personali oggetti del trattamento oppure

ii) provvedere alla loro integrale distruzione salvo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).

In entrambi i casi il Responsabile provvederà a rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione per iscritto contenente

l’attestazione che presso il Responsabile non esista alcuna copia dei dati personali e delle informazioni di titolarità del Titolare. Il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione.

27) La presente nomina avrà efficacia fintanto che sia erogato il Servizio, salvi gli specifici obblighi che per loro natura sono destinati a permanere.

28) Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o il Servizio non fosse più erogato, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.

29) Con il presente contratto si intende espressamente revocato e sostituito ogni altro contratto o accordo tra le parti inerente il trattamento di dati personali.

Data……………………………….

Il Titolare del Trattamento Il Responsabile esterno del Trattamento (Legale Rappresentante) (Legale Rappresentante)

………………………………………. ………………………………………………………..