ATTO
DI INCARICO DI EFESO ACTIVE MARKETING S.r.l.
QUALE
RESPONSABILE DEL TRATTAMENTO
PER
IL SERVIZIO VISUALMED
E
ACCETTAZIONE SUB RESPONSABILI
(art.
28 GDPR)
In
virtù del contratto di licenza d’uso del servizio ‘Visualmed’ stipulato tra Lei
e la Efeso Active Marketing S.r.l., Lei potrà utilizzare tale servizio, nelle
modalità e con i limiti di cui alle Condizioni Generali del contratto.
Ciò
significa che Lei inserirà in Visualmed dati personali comuni (generalità,
Codice Fiscale, indirizzo, numeri di recapito telefonico e posta elettronica) e
particolari (dati relativi alla salute, dati genetici, biometrici, dati
relativi alla vita sessuale o all’orientamento sessuale, eventuali altri dati)
dei Suoi pazienti e li tratterà secondo quanto previsto dalle norme che
regolano la Sua professione.
Rispetto
a detti trattamenti, la Efeso Active Marketing S.r.l. assume il ruolo, in
ambito privacy, di Responsabile del Trattamento: ciò non significa che la
responsabilità per errori, imprecisioni o errato utilizzo da parte Sua di
Visualmed o dei dati dei Suoi pazienti ricadranno sulla Efeso Active Marketing
S.r.l., bensì che la stessa eseguirà a Suo favore alcuni dei trattamenti dei
dati da Lei inseriti.
Inoltre,
per eseguire questi trattamenti, la Efeso Active Marketing S.r.l. si avvarrà
dei servizi offerti da Register.it, in quanto, per motivi di maggiore
sicurezza, disponibilità ed agilità della piattaforma Visualmed, la stessa sfrutta
il servizio Hosting fornito da Register.it, il quale ha sede fisica nel Regno
Unito.
Pertanto,
con il presente, Efeso Active Marketing S.r.l. viene formalmente incaricata da
Lei quale Responsabile del Trattamento dei dati personali, comuni e
particolari, dei Suoi pazienti come da Lei inseriti in Visualmed e solo
relativamente a tale servizio, ai sensi dell’art. 28 del Regolamento (UE)
2016/679 (di seguito, GDPR) e, al contempo, Lei autorizza espressamente la
Efeso Active Marketing S.r.l., quale Responsabile del Trattamento, ad avvalersi
di Sub – Responsabili, quali Register.it.
1. DEFINIZIONI
Nel
presente atto si definiscono:
1. “Titolare” (chi determina le finalità
ed i mezzi del trattamento): è Lei
di seguito indicato come il Titolare,
poiché rispetto al trattamento dei dati dei Suoi pazienti Lei assume la veste
di Titolare nell’ambito privacy;
2.
“Responsabile”
(chi esegue i trattamenti in nome e per conto del Titolare): è la Efeso Active
Marketing S.r.l., di seguito indicata come la
Responsabile;
3.
“Interessato”
(colui o coloro i cui dati sono trattati): sono i Suoi pazienti;
4.
“Trattamento”
(qualsiasi operazione sui dati personali): in questa sede, si tratta delle operazioni che la Responsabile ed il Sub
Responsabile (v. punto 5.) eseguiranno per conto del Titolare tramite Visualmed,
di seguito il Trattamento / i
Trattamenti;
5.
“Sub –
Responsabile” (soggetto a cui ricorre il Responsabile, ‘subappaltando’
i trattamenti): in questa sede, si intende Register.it,
società appartenente al Gruppo Dada, con sede in Acton House, Worcester, UK
(Regno Unito) e gli altri Sub –
Responsabili che costei nominerà o ai quali ricorrerà per eseguire i
Trattamenti, come meglio specificato nell’Ordine di Servizio ‘Hosting’
pubblicato sul sito di Register. it (https://www.register.it/company/legal/ods-hosting.html);
6.
“Incaricato” (colui che esegue un
trattamento su mandato e istruzione del Titolare o del Responsabile): in questa
sede, si tratta dei soggetti che fanno
parte dell’organizzazione della Responsabile o del Sub – Responsabile, sono
stati deputati da costoro ad eseguire trattamenti di dati personali;
7.
“Destinatari”
(coloro cui vengono comunicati i dati personali e particolari
dell’interessato): si tratta dei soggetti ai quali la Responsabile o il Sub
Responsabile comunicano i dati dell’interessato, potrebbero essere dei terzi;
8.
“Terzi”
(coloro che non sono né Titolare, né Responsabile, né Interessato, né
Incaricato, né Destinatari): si tratta di soggetti cui Responsabile e Sub
Responsabile potrebbero dover comunicare i dati dell’Interessato per eseguire
il servizio Visualmed
9.
“Dati
Personali” (ogni informazione su una persona fisica identificata o
identificabile): si tratta dei dati dei
Suoi pazienti che Lei inserirà in Visualmed: QUI, con Dati Personali, intenderemo i dati
personali ‘comuni’, quali nome, cognome, data di nascita, Codice Fiscale, residenza,
domicilio, per distinguerli dai “Dati Particolari”
10.
“Dati
Particolari” (già dati ‘sensibili’, relativi alla sfera personale
intima dell’interessato): si tratta dei dati
relativi alla salute, genetici, biometrici, relativi alla vita sessuale o
all’orientamento sessuale dell’Interessato Suo paziente che Lei, per
eseguire la prestazione sanitaria, inserirà in Visualmed.
2. OGGETTO DELL’ATTO
1.
In virtù delle disposizioni del GDPR applicabili, nonché viste le norme dello
Stato italiano che disciplinano la professione sanitaria, il Responsabile
esegue per conto del Titolare i seguenti Trattamenti sui Dati Personali e
Particolari dell’Interessato:
·
raccolta: con
ciò si intende la possibilità data al Titolare di inserire i Dati Personali e
Particolari dell’Interessato in Visualmed tramite le apposite sezioni del
software;
·
registrazione:
con ciò si intende la creazione di banche dati ed archivi di dati con i Dati
Personali e Particolari dell’Interessato inseriti dal Titolare allo scopo di
agevolarne l’uso e la consultazione da parte del Titolare;
·
conservazione:
con ciò si intende il mantenimento dei Dati Personali e Particolari
dell’Interessato sul server Visualmed allo scopo di consentire gli altri
Trattamenti o la conservazione in caso di cessazione del contratto su hard disk
esterno;
·
assistenza
tecnica: con ciò si intende il collegamento, via telefono o in remoto, da parte
degli Incaricati della Responsabile per la risoluzione di problemi di Visualmed
o per la richiesta di aiuto da parte del Titolare o ancora per l’assistenza al
Titolare nella garanzia dell’esercizio dei diritti da parte dell’Interessato;
·
cancellazione:
con ciò si intende l’eliminazione dei dati inseriti dal Titolare in Visualmed
da ogni supporto fisico e virtuale della Responsabile e del Sub Responsabile.
2.
Si fa presente che, in virtù delle disposizioni del GDPR applicabili, nonché
viste le norme dello Stato italiano che disciplinano la professione sanitaria, i Trattamenti eseguiti sui Dati Personali e
Particolari dell’Interessato da parte del Titolare rimangono nell’ambito della
sua responsabilità, civile, penale, amministrativa, deontologica e rispetto
alle sanzioni e responsabilità previste dal GDPR, anche se eseguiti dalla
Responsabile e dal Sub Responsabile, pertanto il Titolare sarà tenuto ad
eseguire l’adeguamento della sua struttura agli obblighi previsti dal GDPR, in
particolare adottando le misure tecniche, organizzative e di sicurezza dei suoi
trattamenti affinchè essi siano compliant
con il GDPR, incluso il Registro del Trattamento e delle Violazioni di
Sicurezza, la tutela contro i rischi di accesso illecito, modifica indesiderata
e scomparsa o perdita dei dati, come tutti previsti dagli artt. 24 – 36 GDPR,
nonché per la tutela dell’Interessato tramite l’Informativa ai sensi degli
artt. 13 e 14 e la garanzia dell’esercizio dei suoi diritti come previsti dagli
artt. 15 – 22 GDPR. Si specifica che le medesime misure e tutele adottate dalla
Responsabile e dal Sub Responsabile e fornite al Titolare tramite il servizio
Visualmed ed in virtù di esso non sono sufficienti affinchè il Titolare possa
essere ritenuto in regola con il GDPR.
3.
Si specifica che i Trattamenti indicati al punto 1 del presente Articolo
verranno svolti con la seguente modalità:
·
raccolta,
registrazione e conservazione: Responsabile, tramite Sub Responsabile
·
assistenza
tecnica: Responsabile (ove il problema afferisca il servizio offerto dal Sub
Responsabile, anche tramite quest’ultimo)
·
cancellazione:
Responsabile e Sub Responsabile
Si
specifica inoltre che il Sub Responsabile potrebbe eseguire interventi di
assistenza tecnica in remoto per la manutenzione del server Visualmed sul quale
è collocata Visualmed, anche senza richiesta di intervento da parte della
Responsabile o del Titolare, al solo scopo di mantenere la funzionalità del
servizio.
3. DURATA DEL TRATTAMENTO
1.
La durata del trattamento coinciderà con la durata del contratto tra il
Titolare e la Responsabile e per un successivo periodo di 10 anni dalla
cessazione del contratto, come prevista nelle Condizioni Generali del contratto
tra i medesimi stipulato al quale il presente accede.
4. OBBLIGHI DEL RESPONSABILE
1.
Il Titolare autorizza la Responsabile ed il Sub Responsabile ad eseguire i
trattamenti suindicati sui Dati Personali e Particolari conferiti dall’Interessato
al medesimo Titolare e da costui inseriti in Visualmed con le modalità ritenute
maggiormente appropriate, in considerazione dello stato dell’arte, dei costi di
attuazione, della natura e delle finalità dei singoli Trattamenti e fermo
restando l’adozione delle misure di sicurezza indicate all’art. 32 GDPR o delle
diverse che la Responsabile o il Sub Responsabile hanno ritenuto o riterranno opportuno
o necessario adottare.
2.
Il Titolare si dichiara consapevole che, per l’esecuzione dei Trattamenti
verranno utilizzati strumenti elettronici, digitali e virtuali (hosting in primis), sia per la maggiore facilità
di trasmissione concessa sia per motivi legati alle misure di sicurezza ed agli
obblighi imposti dal GDPR al Titolare e che, in virtù dell’Ordine di Servizio
del Sub Responsabile come sopra riportato, essi determineranno il trasferimento
dei Dati Personali e Particolari sia all’interno dell’UE, sia verso Paesi
terzi, siano essi in Unione europea, siano essi al di fuori, con l’adozione
delle garanzie di cui agli artt. 45 – 49 GDPR.
3.
La Responsabile ha vincolato tutte le persone che essa autorizza al Trattamento
quali Incaricati, tramite appositi incarichi in cui le stesse si sono impegnate
a mantenere la riservatezza o sono soggette ad un obbligo legale di riservatezza
e trattano i Dati Personali e Particolari per la Responsabile seguendo le sue istruzioni,
nel rispetto degli obblighi contenuti nel presente.
4.
La Responsabile ha adottato le misure di sicurezza previste dall’art. 32 GDPR
nella misura in cui le medesime siano state ritenute necessarie ed adeguate
alla sua struttura ed organizzazione, tra le quali un sistema di controllo
degli accessi, un Amministratore di Sistema, una password policy, un protocollo
di backup, sistemi antivirus, antimalware e firewall, nonché la cifratura dei
dati prima del conferimento nell’Hosting fornito dal Sub Responsabile. La Responsabile è espressamente autorizzata ad
implementare misure alternative o stabilire luoghi alternativi di conservazione
dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia
mantenuto o aumentato rispetto alle misure dichiarate. Al medesimo modo si
autorizza il Sub Responsabile ad eseguire spostamenti dei Dati Personali e
Particolari su server non collocati in UE, come già specificato al punto 2 e
sempre dietro adozione delle necessarie misure e garanzie come previste dagli
artt. 44 – 49 GDPR.
5.
Il Titolare autorizza la Responsabile ad avvalersi dell’opera dei seguenti Sub
– Responsabili in relazione ai Trattamenti indicati all’Art. 2:
·
Register.it,
per tutti i Trattamenti indicati all’Art. 2, tranne l’Assistenza Tecnica;
·
eventuali Sub
Responsabili nominandi da parte del Sub Responsabile Register.it, per i medesimi
Trattamenti, sempre esclusa l’Assistenza Tecnica quale Trattamento della
Responsabile – l’elenco dei soggetti utilizzati da Register.it è ottenibile
previa richiesta.
Il Titolare
autorizza la Responsabile a nominare ed utilizzare altri Sub – Responsabili per
l’esecuzione dei Trattamenti di cui al presente, diversi da Register.it ed i
suoi Sub Responsabili, laddove si renda necessario o opportuno o in caso di
conclusione del contratto tra la Responsabile e Register.it, fermo restando
l’obbligo della Responsabile di darne pronta e tempestiva notizia al Titolare
affinchè abbia la possibilità di opporsi.
6. A fronte di
quanto specificato all’Art. 2.2, l’Interessato eserciterà i suoi diritti, come
previsti dagli artt. 15 – 22 GDPR, nei confronti del Titolare; la Responsabile
ed il Sub Responsabile, come previsto dall’art. 28 GDPR, assisteranno il
Titolare con misure tecniche ed organizzative adeguate, quali l’Assistenza
Tecnica ed ogni altro punto di contatto cui il Titolare potrà rivolgersi per
interloquire con la Responsabile ed il Sub Responsabile.
7. La Responsabile
ha adottato il proprio Registro dei Trattamenti ai sensi dell’art. 30 (2) GDPR,
nonché il Registro delle Violazioni di Sicurezza ai sensi dell’art. 33 (5) GDPR.
8. Il Sub
Responsabile deve adottare le misure tecniche, organizzative e di sicurezza
nonché ogni altra tutela prevista dall’art. 28 GDPR e dalle altre norme del
GDPR a carico del Responsabile del Trattamento ed è imputabile per la mancata
adozione.
9. La Responsabile
ha nominato un DPO (Data Protection
Officer) ai sensi degli artt. 37 – 39 GDPR; di seguito, si indicano i dati
obbligatori ai sensi dell’art. 13 (1), lett. b) GDPR:
DPO: Avv. Massimiliano POLLICE Via Oslavia, 6 - 00195 ROMA
Tel. 06.37517798
Fax 06.3721300
E-mail: dpo@visualmed.it
5. CONSERVAZIONE DEI DATI
1. Ai sensi
dell’art. 28 (3), lett. g) GDPR, il Titolare sceglie ed autorizza la
Responsabile a conservare i dati inseriti dal Titolare in Visualmed per anni 10
dalla conclusione del contratto, salvi i diritti dell’Interessato circa Oblio e
Limitazione del Trattamento, esercitabili verso il Titolare e notificabili alla
Responsabile. Tale periodo di conservazione è stato stabilito avendo riguardo
al termine decennale ordinario di prescrizione dei diritti e tenendo ferma la
tutela della Responsabile verso eventuali rivendicazioni o azioni di
responsabilità e / o risarcimento da parte degli Interessati e /o del Titolare.
2. Si specifica che
i Dati Personali e Particolari che la Responsabile conserverà ai sensi del
punto 1 del presente Articolo non saranno oggetto di Trattamenti, in
particolare di Comunicazione, salvo quelli necessari alla difesa giudiziale o
stragiudiziale della Responsabile.
6. OBBLIGHI DEL TITOLARE
1. Il Titolare,
sempre in virtù di quanto specificato all’Art. 2.2 e di quanto previsto a suo
carico dal GDPR e dalla legislazione inerente l’esercizio della professione
sanitaria, si impegna ad adottare tutte le misure tecniche, organizzative e di
sicurezza previste dal GDPR e dalla legislazione sanitaria nella gestione di
Dati Personali e Particolari dell’Interessato, allo scopo di mantenerne la
riservatezza e la sicurezza. In particolare, si rammenta al Titolare che, ove
eserciti la professione sanitaria presso istituti pubblici o convenzionati con
il SSN, l’uso di Visualmed non sarà consentito a meno che non sia autorizzato
dalla Direzione Generale secondo la legislazione vigente, anche in materia di
procedura di evidenza pubblica e fornito al medesimo Titolare quale strumento
di lavoro da parte della struttura sanitaria via via identificata.
2. La Responsabile
non sarà imputabile per virus, malware ed altri problemi connessi al
Trattamento automatizzato dei Dati Personali e Particolari immessi dal Titolare
in Visualmed che dovessero derivare da apparecchiature, software, hardware o
altro elemento, anche umano, facente capo al Titolare o al Sub Responsabile e
che dovessero causare danni al Titolare, all’Interessato o a Terzi: a tale
scopo, il Titolare si impegna a mantenere gli elementi software ed hardware che
utilizza per conferire i Dati Personali e Particolari in Visualmed, nonché ogni
altro strumento che egli o i suoi Incaricati utilizzano per collegarsi a
Visualmed ed operarvi sempre in ottimo stato manutentivo ed aggiornati, nonché
dotati degli opportuni antivirus, antimalware e firewall.
3. La Responsabile e
il Sub Responsabile non saranno ritenuti imputabili per il contenuto che il
Titolare immette in Visualmed, ove lo stesso dovesse risultare illecito,
fraudolento, offensivo o in qualsiasi modo illegale e per ciò risponderà il
solo Titolare.
4. La Responsabile e
il Sub Responsabile non saranno ritenuti imputabili per errori, accessi
illegittimi, modifiche indesiderate, perdita o distruzione, trattamento
illecito dei Dati Personali e Particolari inseriti dal Titolare in Visualmed così
come dei danni, materiali ed immateriali, che dovessero occorrere
all’Interessato o a Terzi e che siano derivati dalla condotta, attiva od
omissiva del Titolare o dei suoi Incaricati, oppure ove il Titolare abbia
impartito istruzioni illegittime e la Responsabile ed il Sub Responsabile si
siano opposti, ai sensi degli artt. 28 (3), 2° comma, GDPR e 82 (2) GDPR.
Roma, (vedere
data contratto)
Per la
Responsabile Per
il Titolare
Efeso Active Marketing S.r.l. Dott. / Dott.
ssa …
Amministratore Unico
(Simone RAGGI)
________________________ ________________________