ATTO DI INCARICO DI EFESO ACTIVE MARKETING S.r.l. 

QUALE RESPONSABILE DEL TRATTAMENTO

PER IL SERVIZIO VISUALMED

E ACCETTAZIONE SUB RESPONSABILI

(art. 28 GDPR)

In virtù del contratto di licenza d’uso del servizio ‘Visualmed’ stipulato tra Lei e la Efeso Active Marketing S.r.l., Lei potrà utilizzare tale servizio, nelle modalità e con i limiti di cui alle Condizioni Generali del contratto.

Ciò significa che Lei inserirà in Visualmed dati personali comuni (generalità, Codice Fiscale, indirizzo, numeri di recapito telefonico e posta elettronica) e particolari (dati relativi alla salute, dati genetici, biometrici, dati relativi alla vita sessuale o all’orientamento sessuale, eventuali altri dati) dei Suoi pazienti e li tratterà secondo quanto previsto dalle norme che regolano la Sua professione.

Rispetto a detti trattamenti, la Efeso Active Marketing S.r.l. assume il ruolo, in ambito privacy, di Responsabile del Trattamento: ciò non significa che la responsabilità per errori, imprecisioni o errato utilizzo da parte Sua di Visualmed o dei dati dei Suoi pazienti ricadranno sulla Efeso Active Marketing S.r.l., bensì che la stessa eseguirà a Suo favore alcuni dei trattamenti dei dati da Lei inseriti.

Inoltre, per eseguire questi trattamenti, la Efeso Active Marketing S.r.l. si avvarrà dei servizi offerti da Register.it, in quanto, per motivi di maggiore sicurezza, disponibilità ed agilità della piattaforma Visualmed, la stessa sfrutta il servizio Hosting fornito da Register.it, il quale ha sede fisica nel Regno Unito.

Pertanto, con il presente, Efeso Active Marketing S.r.l. viene formalmente incaricata da Lei quale Responsabile del Trattamento dei dati personali, comuni e particolari, dei Suoi pazienti come da Lei inseriti in Visualmed e solo relativamente a tale servizio, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (di seguito, GDPR) e, al contempo, Lei autorizza espressamente la Efeso Active Marketing S.r.l., quale Responsabile del Trattamento, ad avvalersi di Sub – Responsabili, quali Register.it.

1. DEFINIZIONI

Nel presente atto si definiscono:

1.      “Titolare” (chi determina le finalità ed i mezzi del trattamento): è Lei di seguito indicato come il Titolare, poiché rispetto al trattamento dei dati dei Suoi pazienti Lei assume la veste di Titolare nell’ambito privacy;

2.      “Responsabile” (chi esegue i trattamenti in nome e per conto del Titolare): è la Efeso Active Marketing S.r.l., di seguito indicata come la Responsabile;

3.      “Interessato” (colui o coloro i cui dati sono trattati): sono i Suoi pazienti;

4.      “Trattamento” (qualsiasi operazione sui dati personali): in questa sede, si tratta delle operazioni che la Responsabile ed il Sub Responsabile (v. punto 5.) eseguiranno per conto del Titolare tramite Visualmed, di seguito il Trattamento / i Trattamenti;

5.      “Sub – Responsabile” (soggetto a cui ricorre il Responsabile, ‘subappaltando’ i trattamenti): in questa sede, si intende Register.it, società appartenente al Gruppo Dada, con sede in Acton House, Worcester, UK (Regno Unito) e gli altri Sub – Responsabili che costei nominerà o ai quali ricorrerà per eseguire i Trattamenti, come meglio specificato nell’Ordine di Servizio ‘Hosting’ pubblicato sul sito di Register. it (https://www.register.it/company/legal/ods-hosting.html);

6.       “Incaricato” (colui che esegue un trattamento su mandato e istruzione del Titolare o del Responsabile): in questa sede, si tratta dei soggetti che fanno parte dell’organizzazione della Responsabile o del Sub – Responsabile, sono stati deputati da costoro ad eseguire trattamenti di dati personali;

7.      “Destinatari” (coloro cui vengono comunicati i dati personali e particolari dell’interessato): si tratta dei soggetti ai quali la Responsabile o il Sub Responsabile comunicano i dati dell’interessato, potrebbero essere dei terzi;

8.      “Terzi” (coloro che non sono né Titolare, né Responsabile, né Interessato, né Incaricato, né Destinatari): si tratta di soggetti cui Responsabile e Sub Responsabile potrebbero dover comunicare i dati dell’Interessato per eseguire il servizio Visualmed

9.      “Dati Personali” (ogni informazione su una persona fisica identificata o identificabile): si tratta dei dati dei Suoi pazienti che Lei inserirà in Visualmed: QUI, con Dati Personali, intenderemo i dati personali ‘comuni’, quali nome, cognome, data di nascita, Codice Fiscale, residenza, domicilio, per distinguerli dai “Dati Particolari”

10.   “Dati Particolari” (già dati ‘sensibili’, relativi alla sfera personale intima dell’interessato): si tratta dei dati relativi alla salute, genetici, biometrici, relativi alla vita sessuale o all’orientamento sessuale dell’Interessato Suo paziente che Lei, per eseguire la prestazione sanitaria, inserirà in Visualmed.

2. OGGETTO DELL’ATTO

1. In virtù delle disposizioni del GDPR applicabili, nonché viste le norme dello Stato italiano che disciplinano la professione sanitaria, il Responsabile esegue per conto del Titolare i seguenti Trattamenti sui Dati Personali e Particolari dell’Interessato:

·        raccolta: con ciò si intende la possibilità data al Titolare di inserire i Dati Personali e Particolari dell’Interessato in Visualmed tramite le apposite sezioni del software;

·        registrazione: con ciò si intende la creazione di banche dati ed archivi di dati con i Dati Personali e Particolari dell’Interessato inseriti dal Titolare allo scopo di agevolarne l’uso e la consultazione da parte del Titolare;

·        conservazione: con ciò si intende il mantenimento dei Dati Personali e Particolari dell’Interessato sul server Visualmed allo scopo di consentire gli altri Trattamenti o la conservazione in caso di cessazione del contratto su hard disk esterno;

·        assistenza tecnica: con ciò si intende il collegamento, via telefono o in remoto, da parte degli Incaricati della Responsabile per la risoluzione di problemi di Visualmed o per la richiesta di aiuto da parte del Titolare o ancora per l’assistenza al Titolare nella garanzia dell’esercizio dei diritti da parte dell’Interessato;

·        cancellazione: con ciò si intende l’eliminazione dei dati inseriti dal Titolare in Visualmed da ogni supporto fisico e virtuale della Responsabile e del Sub Responsabile.

2. Si fa presente che, in virtù delle disposizioni del GDPR applicabili, nonché viste le norme dello Stato italiano che disciplinano la professione sanitaria, i Trattamenti eseguiti sui Dati Personali e Particolari dell’Interessato da parte del Titolare rimangono nell’ambito della sua responsabilità, civile, penale, amministrativa, deontologica e rispetto alle sanzioni e responsabilità previste dal GDPR, anche se eseguiti dalla Responsabile e dal Sub Responsabile, pertanto il Titolare sarà tenuto ad eseguire l’adeguamento della sua struttura agli obblighi previsti dal GDPR, in particolare adottando le misure tecniche, organizzative e di sicurezza dei suoi trattamenti affinchè essi siano compliant con il GDPR, incluso il Registro del Trattamento e delle Violazioni di Sicurezza, la tutela contro i rischi di accesso illecito, modifica indesiderata e scomparsa o perdita dei dati, come tutti previsti dagli artt. 24 – 36 GDPR, nonché per la tutela dell’Interessato tramite l’Informativa ai sensi degli artt. 13 e 14 e la garanzia dell’esercizio dei suoi diritti come previsti dagli artt. 15 – 22 GDPR. Si specifica che le medesime misure e tutele adottate dalla Responsabile e dal Sub Responsabile e fornite al Titolare tramite il servizio Visualmed ed in virtù di esso non sono sufficienti affinchè il Titolare possa essere ritenuto in regola con il GDPR.

3. Si specifica che i Trattamenti indicati al punto 1 del presente Articolo verranno svolti con la seguente modalità:

·        raccolta, registrazione e conservazione: Responsabile, tramite Sub Responsabile

·        assistenza tecnica: Responsabile (ove il problema afferisca il servizio offerto dal Sub Responsabile, anche tramite quest’ultimo)

·        cancellazione: Responsabile e Sub Responsabile

Si specifica inoltre che il Sub Responsabile potrebbe eseguire interventi di assistenza tecnica in remoto per la manutenzione del server Visualmed sul quale è collocata Visualmed, anche senza richiesta di intervento da parte della Responsabile o del Titolare, al solo scopo di mantenere la funzionalità del servizio.

3. DURATA DEL TRATTAMENTO

1. La durata del trattamento coinciderà con la durata del contratto tra il Titolare e la Responsabile e per un successivo periodo di 10 anni dalla cessazione del contratto, come prevista nelle Condizioni Generali del contratto tra i medesimi stipulato al quale il presente accede.

4. OBBLIGHI DEL RESPONSABILE

1. Il Titolare autorizza la Responsabile ed il Sub Responsabile ad eseguire i trattamenti suindicati sui Dati Personali e Particolari conferiti dall’Interessato al medesimo Titolare e da costui inseriti in Visualmed con le modalità ritenute maggiormente appropriate, in considerazione dello stato dell’arte, dei costi di attuazione, della natura e delle finalità dei singoli Trattamenti e fermo restando l’adozione delle misure di sicurezza indicate all’art. 32 GDPR o delle diverse che la Responsabile o il Sub Responsabile hanno ritenuto o riterranno opportuno o necessario adottare.

2. Il Titolare si dichiara consapevole che, per l’esecuzione dei Trattamenti verranno utilizzati strumenti elettronici, digitali e virtuali (hosting in primis), sia per la maggiore facilità di trasmissione concessa sia per motivi legati alle misure di sicurezza ed agli obblighi imposti dal GDPR al Titolare e che, in virtù dell’Ordine di Servizio del Sub Responsabile come sopra riportato, essi determineranno il trasferimento dei Dati Personali e Particolari sia all’interno dell’UE, sia verso Paesi terzi, siano essi in Unione europea, siano essi al di fuori, con l’adozione delle garanzie di cui agli artt. 45 – 49 GDPR.

3. La Responsabile ha vincolato tutte le persone che essa autorizza al Trattamento quali Incaricati, tramite appositi incarichi in cui le stesse si sono impegnate a mantenere la riservatezza o sono soggette ad un obbligo legale di riservatezza e trattano i Dati Personali e Particolari per la Responsabile seguendo le sue istruzioni, nel rispetto degli obblighi contenuti nel presente.

4. La Responsabile ha adottato le misure di sicurezza previste dall’art. 32 GDPR nella misura in cui le medesime siano state ritenute necessarie ed adeguate alla sua struttura ed organizzazione, tra le quali un sistema di controllo degli accessi, un Amministratore di Sistema, una password policy, un protocollo di backup, sistemi antivirus, antimalware e firewall, nonché la cifratura dei dati prima del conferimento nell’Hosting fornito dal Sub Responsabile. La Responsabile è espressamente autorizzata ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. Al medesimo modo si autorizza il Sub Responsabile ad eseguire spostamenti dei Dati Personali e Particolari su server non collocati in UE, come già specificato al punto 2 e sempre dietro adozione delle necessarie misure e garanzie come previste dagli artt. 44 – 49 GDPR.

5. Il Titolare autorizza la Responsabile ad avvalersi dell’opera dei seguenti Sub – Responsabili in relazione ai Trattamenti indicati all’Art. 2:

·        Register.it, per tutti i Trattamenti indicati all’Art. 2, tranne l’Assistenza Tecnica;

·        eventuali Sub Responsabili nominandi da parte del Sub Responsabile Register.it, per i medesimi Trattamenti, sempre esclusa l’Assistenza Tecnica quale Trattamento della Responsabile – l’elenco dei soggetti utilizzati da Register.it è ottenibile previa richiesta.

Il Titolare autorizza la Responsabile a nominare ed utilizzare altri Sub – Responsabili per l’esecuzione dei Trattamenti di cui al presente, diversi da Register.it ed i suoi Sub Responsabili, laddove si renda necessario o opportuno o in caso di conclusione del contratto tra la Responsabile e Register.it, fermo restando l’obbligo della Responsabile di darne pronta e tempestiva notizia al Titolare affinchè abbia la possibilità di opporsi.

 

6. A fronte di quanto specificato all’Art. 2.2, l’Interessato eserciterà i suoi diritti, come previsti dagli artt. 15 – 22 GDPR, nei confronti del Titolare; la Responsabile ed il Sub Responsabile, come previsto dall’art. 28 GDPR, assisteranno il Titolare con misure tecniche ed organizzative adeguate, quali l’Assistenza Tecnica ed ogni altro punto di contatto cui il Titolare potrà rivolgersi per interloquire con la Responsabile ed il Sub Responsabile.

 

7. La Responsabile ha adottato il proprio Registro dei Trattamenti ai sensi dell’art. 30 (2) GDPR, nonché il Registro delle Violazioni di Sicurezza ai sensi dell’art. 33 (5) GDPR.

 

8. Il Sub Responsabile deve adottare le misure tecniche, organizzative e di sicurezza nonché ogni altra tutela prevista dall’art. 28 GDPR e dalle altre norme del GDPR a carico del Responsabile del Trattamento ed è imputabile per la mancata adozione.

 

9. La Responsabile ha nominato un DPO (Data Protection Officer) ai sensi degli artt. 37 – 39 GDPR; di seguito, si indicano i dati obbligatori ai sensi dell’art. 13 (1), lett. b) GDPR:

DPO: Avv. Massimiliano POLLICE Via Oslavia,  6 - 00195 ROMA

Tel. 06.37517798  Fax 06.3721300

E-mail: dpo@visualmed.it

5. CONSERVAZIONE DEI DATI

1. Ai sensi dell’art. 28 (3), lett. g) GDPR, il Titolare sceglie ed autorizza la Responsabile a conservare i dati inseriti dal Titolare in Visualmed per anni 10 dalla conclusione del contratto, salvi i diritti dell’Interessato circa Oblio e Limitazione del Trattamento, esercitabili verso il Titolare e notificabili alla Responsabile. Tale periodo di conservazione è stato stabilito avendo riguardo al termine decennale ordinario di prescrizione dei diritti e tenendo ferma la tutela della Responsabile verso eventuali rivendicazioni o azioni di responsabilità e / o risarcimento da parte degli Interessati e /o del Titolare.

 

2. Si specifica che i Dati Personali e Particolari che la Responsabile conserverà ai sensi del punto 1 del presente Articolo non saranno oggetto di Trattamenti, in particolare di Comunicazione, salvo quelli necessari alla difesa giudiziale o stragiudiziale della Responsabile.

6. OBBLIGHI DEL TITOLARE

 

1. Il Titolare, sempre in virtù di quanto specificato all’Art. 2.2 e di quanto previsto a suo carico dal GDPR e dalla legislazione inerente l’esercizio della professione sanitaria, si impegna ad adottare tutte le misure tecniche, organizzative e di sicurezza previste dal GDPR e dalla legislazione sanitaria nella gestione di Dati Personali e Particolari dell’Interessato, allo scopo di mantenerne la riservatezza e la sicurezza. In particolare, si rammenta al Titolare che, ove eserciti la professione sanitaria presso istituti pubblici o convenzionati con il SSN, l’uso di Visualmed non sarà consentito a meno che non sia autorizzato dalla Direzione Generale secondo la legislazione vigente, anche in materia di procedura di evidenza pubblica e fornito al medesimo Titolare quale strumento di lavoro da parte della struttura sanitaria via via identificata.

 

2. La Responsabile non sarà imputabile per virus, malware ed altri problemi connessi al Trattamento automatizzato dei Dati Personali e Particolari immessi dal Titolare in Visualmed che dovessero derivare da apparecchiature, software, hardware o altro elemento, anche umano, facente capo al Titolare o al Sub Responsabile e che dovessero causare danni al Titolare, all’Interessato o a Terzi: a tale scopo, il Titolare si impegna a mantenere gli elementi software ed hardware che utilizza per conferire i Dati Personali e Particolari in Visualmed, nonché ogni altro strumento che egli o i suoi Incaricati utilizzano per collegarsi a Visualmed ed operarvi sempre in ottimo stato manutentivo ed aggiornati, nonché dotati degli opportuni antivirus, antimalware e firewall.

 

3. La Responsabile e il Sub Responsabile non saranno ritenuti imputabili per il contenuto che il Titolare immette in Visualmed, ove lo stesso dovesse risultare illecito, fraudolento, offensivo o in qualsiasi modo illegale e per ciò risponderà il solo Titolare.

 

4. La Responsabile e il Sub Responsabile non saranno ritenuti imputabili per errori, accessi illegittimi, modifiche indesiderate, perdita o distruzione, trattamento illecito dei Dati Personali e Particolari inseriti dal Titolare in Visualmed così come dei danni, materiali ed immateriali, che dovessero occorrere all’Interessato o a Terzi e che siano derivati dalla condotta, attiva od omissiva del Titolare o dei suoi Incaricati, oppure ove il Titolare abbia impartito istruzioni illegittime e la Responsabile ed il Sub Responsabile si siano opposti, ai sensi degli artt. 28 (3), 2° comma, GDPR e 82 (2) GDPR.

 

Roma, (vedere data contratto)

 

 

 

Per la Responsabile                                                                                                                 Per il Titolare

 

Efeso Active Marketing S.r.l.                                                                                                  Dott. / Dott. ssa …

Amministratore Unico      

(Simone RAGGI)

 

 

 

________________________                                                                                                 ________________________