REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
REGIONE DEL VENETO
AZIENDA OSPEDALIERA DI PADOVA
Delibera del Direttore Generale n. 659 del 22/05/2018
OGGETTO: Approvazione schema di convenzione con Arsenàl.IT-Centro
V e n e t o R i ce r c a e I n n o v a z i o n e p e r l a S a n i t à D i g i t a l e - p e r
l ' a d e s i o n e a l P r o g e t t o " S u p p o r t o p e r l ' a d e g u a m e n t o a l G D PR e
attività per l'espletamento del ruolo di Responsabile della
Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie
del Veneto".
N O T E T R A S P A R E N Z A : Con il presente provvedimento si approva lo schema di
convenzione con Arsenàl.IT-Centro Veneto Ricerca e Innovazione per la Sanità Digitale -
per l'attività di cui al "Progetto tecnico e proposta economica per supporto
adeguamento al GDPR e attività per l'espletamento del ruolo di Responsabile della
Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto" , che avrà
durata dalla data di sottoscrizione della convenzione sino al 31/12/2019.
Il Direttore della UOC Affari Generali e Legali riferisce:
Il 25/05/2018 scadrà il termine per i Titolari del Trattamento per
a d e g u a r s i a l R e g o l a m e n t o ( U E ) 2 0 1 6 / 6 7 9 d e l P a r l a m e n t o e u r o pe o e d e l
Consiglio del 27/04/2016 ( noto anche con l’acronimo inglese di GDPR -
General Data Protection Regulation-) relativo alla protezione delle
p e r s o n e f i s i c h e c o n r i g u a r d o a l t r a t t a m e n t o d e i d a t i p e r so n a l i , n o n c h é
a l l a l i b e r a c i r c o l a z i o ne d i t a l i d a t i , c h e a b r o g a l a d i r e t t i v a 9 5 / 4 6 / C E
( r e g o l a m e n t o g e n e r a l e s u l l a p r o t e z i o ne d e i d a t i ) , e m i r a a g a r a n t i r e u n a
disciplina uniforme ed omogenea in tutto il territorio dell'Unione
e ur o p e a .
L e n o r m e i n t r o d o t t e d a l R e go l a m e n t o U E 2 0 1 6 / 6 7 9 p r e v e d o n o n u o v i
a d e m p i m e n t i , o l t r e a u n ’ i n t e n s a a t t i v i t à d i o r g a n i z z a z i o n e a c a r i c o de l l e
amministrazioni pubbliche che si traducono in obblighi organizzativi,
d o c u m e n t a l i e t e c n i c i d a a d o t t a r e p e r c o n s e n t i r e l a p i e n a e co n s a p e v o l e
applicazione del nuovo quadro normativo in materia di privacy.
Questa Azienda Ospedaliera ha, quindi, ritenuto opportuno, sin da subito,
affrontare la tematica in argomento, in aderenza anche al nuovo principio
di "accountability" (obbligo di rendicontazione), per cui il titolare dovrà
dimostrare l'adozione di politiche privacy e di misure di sicurezza,
organizzative e tecniche, adeguate ed efficaci a protezione dei dati, in
deliberazione n. 659 del 22/5/2018 pagina 1 di 22
REGIONE DEL VENETO
AZIENDA OSPEDALIERA DI PADOVA
c o n f o r m i t à a l R e g o l a m e n t o , d i s c i p l i n a n d o c o m p i t i , r e go l a m e n t i e p o l i c y
interne che garantiscano l’assolvimento dei (non pochi) adempimenti
i m p o s t i d a l l e n o r me e u r o p e e , a t u t e l a d e i d i r i t t i e d e l l e l i b e r t à de g l i
interessati.
A l l a l u c e d i c i ò , c o n d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 i l D i r e t t o r e
G e ne r a l e d e l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a h a , q u i n d i , a p p r o v a t o , q u a l e
s t r u m e n t o a c a r a t t e r e p r o g r a m m a t i c o u n a R e l az i o n e T e c n i c a c h e
rappresenta, in modo schematico e per quanto possibile sintetico, gli
a d e m p i m e n t i c u i d e v e f a r f r o n t e q u e s t a A z i e n d a O s pe d a l i e r a p e r e f fe t t o
d e l l e n o r m e e u r o pe e , i n d i v i d u a n d o g l i a m b i t i d i a t t i v i t à az i e n d a l e d o v e f a r
rientrare i numerosi adempimenti di carattere strategico, organizzativo,
t e c n o l o g i c o i n f o r m a t i c o e co m u n i c a t i v o , t e n e n d o c o n t o s i a d e l f a t t o c he
m o l t i d i q u e s t i a d e m p i m e n t i n o n s o n o a n c o r a b e n d e f i n i t i pe r i l d e s c r i t t o
contesto normativo attuale, sia delle disposizioni organizzative contenute
nel nuovo atto Aziendale di questa Azienda Ospedaliera (ad oggi ancora
a l v a g l i o d e l l a R e g i o n e V e ne t o p e r l a p r e v i s t a v a l u t a z i o n e d i c o n f o r m i t à ) .
Tra i molteplici adempimenti previsti dal Regolamento UE 2016/679 il
Garante per la protezione dei dati personali ha suggerito alle
Amministrazioni, attraverso una scheda informativa, di avviare con
a s s o l u t a p r i o r i t à : l a d e s i g n a z i o n e d e l R e s p o n s a b i l e d e l l a P r o t e z i o n e de i
D a t i - R P D ( a r t t . 3 7 - 3 9 ) n o t o a n c h e co n l ’ a c r o n i m o i n g l e s e “ D P O ” ( D a t a
Protection Officer); l’istituzione del registro delle attività di trattamento
( a r t . 3 0 e co n s . 1 7 1 ) ; l a n o t i f i c a d e l l e v i o l a z i o n i d e i d a t i p e r s o n a l i ( c . d .
Data Breach).
P o i c h è r i s u l t a i n d i s p e n s a b i l e a d e m p i e r e a l l e n u o v e d i s p o s i z i o n i d e l G D PR
n e i t e r m i n i s t a b i l i t i d a l l a no r m a t i v a , co m e s o p r a r i c h i a m a t i , g a r a n t e n d o
l’uniformità e l’organicità dei processi organizzativi e informativi-
i n f o r m a t i c i d i t u t t e l e Az i e n d e d e l S S R ne l r i s p e t t o d e i p r i n c i p i d i
e f f i c i e n z a , e f f i c a c i a , r az i o n a l i t à e d e co n o m i c i t à n e l l ’ i m p i e g o d e l l e r i s o r se ,
l’Azienda Zero, Ente di governance della sanità regionale veneta, istituito
d a l l a L e g g e R e g i o n a l e n . 1 9 d e l 2 5 /1 0 / 2 0 1 6 , c o n d e c r e t o c o m m i s s a r i a l e
d e l 1 5 7 d e l 2 6 /0 4 / 2 0 1 8 , n e l r e c e p i r e l ’ i n d i c a z i o n e e s p r e s s a d a l C o m i t a t o
d e i D i r e t t o r i G e ne r a l i ( a r t . 3 L .R . n . 1 9 / 2 0 1 6 ) n e l l e se d u t e d e l 5 m a r z o
2018 e 23 aprile 2018, ha approvato e affidato al Consorzio Arsenàl.IT
-Centro Veneto Ricerca e Innovazione per la Sanità Digitale – il Progetto
da questo predisposto, su richiesta di Azienda Zero, ad oggetto “Supporto
p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i
R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e
Sanitarie del Veneto”
deliberazione n. 659 del 22/5/2018 pagina 2 di 22
REGIONE DEL VENETO
AZIENDA OSPEDALIERA DI PADOVA
C o n s u c c e s s i v a n o t a p r o t . 6 0 4 5 de l l ’ 1 / 0 5 / 2 0 1 8 l ’ A z i e n d a Z e r o h a
t r a s m e s s o i l s u c c i t a t o P r o g e t t o u n i t a m e n t e a l l o s c h e m a d i C o n v e nz i o n e
p e r l ’ a d e s i o n e v o l o n t a r i a d a p a r t e d e l l e az i e n d e s a n i t a r i e .
A l l a l u c e d i q u a n t o s o p r a e s p o s t o , s i p r o p o ne d i a p p r o v a r e l o s c h e m a d i
C o n v e n z i o ne co n A r s e n à l . I T ( A l l . A ) p e r l ’ a d e s i o n e a l P r o g e t t o “ S u p p o r t o
p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i
R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e
S a n i t a r i e d e l V e n e t o ” , a l l e g a t o q u a l e p a r t e i n t e g r a n t e e so s t a n z i a l e a l l a
convenzione.
I n o l t r e , c o m e p r e v i s t o d a t a l e P r o g e t t o ( p u n t o 4 .2 l e t t . b ) , s i p r o p o ne d i
i n d i v i d u a r e i l r e fe r e n t e i n t e r n o a l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a ,
p r e p o s t o a g l i a d e m p i m e n t i az i e n d a l i i n m a t e r i a d i p r i v a c y ( d a a t t u a r s i
secondo quanto previsto dalla r e l a z i o ne Tecnica allegata alla
Deliberazione del Direttore G e ne r a l e n. 537 del 2 4 /0 4 / 2 0 1 8 ,
soprarichiamata), con funzioni di raccordo con il Gruppo di lavoro
m u l t i d i s c i p l i n a r e ( c o s t i t u i t o co n d e c r e t o d e l C o m m i s s a r i o d i A z i e n d a Z e r o
n. 157 del 26/04/2018 a supporto delle singole Aziende UU.LL.SS.,
A z i e n d e O s p e d a l i e r e e I O V ) e co n i l B o a r d / R P D ( B o a r d p i ù r i s t r e t t o c o n
compiti di supporto operativo all’RPD, formato da professionalità
multidiciplinari, costituito, anch’esso, in e se c u z i o n e del p r o ge t t o
a p p r o v a t o c o n D e cr e t o c o m m i s s a r i a l e d i A z i e n d a Z e r o n . 1 5 7 , d e l
2 6 /0 4 / 2 0 1 8 ) , p r e v e d e n d o , a l t r e s ì , l a m e s s a a d i s p o s i z i o n e d i a p p o s i t e
d o t a z i o n i l o g i s t i c h e , s t r u m e n t a l i e r i s o r se u m a n e s e m p r e p e r i l s u p p o r t o
locale all’RPD, al Gruppo di lavoro e al Board/RPD.
I L DI R E T T O R E G E N E R A L E
PRESO ATTO della suestesa proposta e accertato che il Direttore della
U O C A f f a r i G e n e r a l i e L e g a l i h a a t t e s t a t o l ’ a v v e n u t a r e go l a r e i s t r u t t o r i a
della pratica, anche in ordine alla conformità con la vigente legislazione
statale e regionale;
R I T E N U T O d i d o v e r a d o t t a r e i n m e r i t o i p r o v v e d i m e n t i n e ce s s a r i ;
VISTO il Decreto Legislativo n. 502/92 e successive modifiche ed
integrazioni e le leggi regionali n. 55 e n. 56 del 1994 e successive
modifiche ed integrazioni;
ACQUISITO il parere favorevole del Direttore Amministrativo e del
Direttore Sanitario per quanto di rispettiva competenza;
I N B A S E a i p o t e r i c o n f e r i t i g l i d a l D . P . G . R . n r . 9 2 d e l 0 1 .0 8 . 2 0 1 6 .
deliberazione n. 659 del 22/5/2018 pagina 3 di 22
REGIONE DEL VENETO
AZIENDA OSPEDALIERA DI PADOVA
DELIBERA
1 . d i a p p r o v a r e , pe r l e r a g i o n i e s p r e s se i n p r e m e s s a , l o s c h e m a d i
C o n v e n z i o ne , a l l e g a t o a l p r e s e n t e p r o v v e d i m e n t o p e r c o s t i t u i r n e p a r t e
integrante e sostanziale, quale strumento regolatorio dei rapporti tra
Azienda Ospedaliera di Padova e Arsenàl.IT – Centro Veneto Ricerca e
Innovazione per la Sanità Digitale - per l’attività di cui al Progetto
“Supporto per l’adeguamento al GDPR e attività per l’espletamento del
ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le
A z i e n d e S a n i t a r i e d e l V e n e t o ” ” , c h e co s t i t u i s c e p a r t e i n t e g r a n t e e
sostanziale della medesima Convenzione;
2. di individuare, quale referente aziendale preposto agli adempimenti
a z i e n d a l i i n m a t e r i a d i p r i v a c y ( s e co n d o q u a n t o p r e v i s t o d a l l a r e l a z i o n e
T e c n i c a a l l e g a t a a l l a p r e c e de n t e d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 ) ,
l ' a v v . M a r i a G r a z i a C a l ì o s u o de l e g a t o , S o s t i t u t o R e s p o n s a b i l e d e l l a U O C
A f f a r i G e ne r a l i e L e g a l i , c o n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o d i
lavoro e con il Board/RPD;
3. di mettere a disposizione dell’ RPD nonchè del Gruppo di lavoro e del
B o ar d / R P D , a l f i n e d i co n s e n t i r e l ’ o t t i m a l e s vo l g i m e n t o d e i c o m p i t i e d e l l e
f u n z i o n i l o r o a s s e g n a t e , l a S a l a R i u n i o n i d e l l a D i r e z i o n e G e ne r a l e ,
g a r a n t e n d o , a l t r e s ì , p e r l e m e de s i m e f i n a l i t à , l a n e ce s s a r i a d o t a z i o ne
s t r u m e n t a l e e i l s u p p o r t o d i r i s o r s e u m a n e co n e s p e r i e n z a e c o no s c e n z a
specifica della materia;
4. di rinviare ad un successivo provvedimento la costituzione di un
G r u p p o d i L a v o r o az i e n d a l e co n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o
d i L a v o r o c o s t i t u i t o a l i v e l l o r e g i o n a l e e co n i l B o a r d / R P D c h e p r e v e d e r à
s p e c i a l i s t i i n a m b i t o l e g a l e co n e s p e r i e n z a e c o n o s ce n z a s p e c i f i c a d e l l a
normativa e delle prassi in materi di privacy, nonché delle norme e delle
procedure amministrative che caratterizzano il settore sanitario; in
ambito informatico con comprovata esperienza in ambito IT e specifica
c o n o s c e nz a d e g l i a p p l i c a t i v i d e l se t t o r e s a n i t a r i o e a m m i n i s t r a t i v o ; i n
a m b i t o d i p r o c e s s i a z i e n d a l i c o n co m p r o v a t a e s p e r i e n z a e a p p r o f o n d i t a
c o n o s c e nz a m a t u r a t a n e l l ’ a m b i t o d e l l a D i r e z i o n e s a n i t a r i a ;
5. di dare atto che la durata della Convenzione, di cui al punto 1),
d e c o r r e r à d a l l a d a t a d e l l a s u a s o t t o s c r i z i o n e e f i n o a l 3 1 /1 2 / 2 0 1 9 ;
6. Di prendere atto che, per quanto concerne gli aspetti relativi al
c o r r i s p e t t i v o pe r l e a t t i v i t à s vo l t e d a A r se n à l . I T , g l i o n e r i d e r i v a n t i
dall’esecuzione delle attività previste dal Progetto (Punto 8
“ D i m e n s i o n a m e n t o e co n o m i c o A r s e n à l . I T ” ) “ t r o ve r a n n o c o pe r t u r a n e l
deliberazione n. 659 del 22/5/2018 pagina 4 di 22
REGIONE DEL VENETO
AZIENDA OSPEDALIERA DI PADOVA
bilancio di Azienda Zero”, come disposto al punto 4 del Decreto
c o m m i s s a r i a l e de l l a me d e s i m a n . 1 5 7 d e l 2 6 a p r i l e 2 0 1 8 .
Il Direttore Generale
F.to Dott. Luciano Flor
deliberazione n. 659 del 22/5/2018 pagina 5 di 22Adesione al Progetto “Supporto per l’adeguamento al GDPR e attività per l’espletamento
del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende
Sanitarie del Veneto” – Azienda Ospedaliera di Padova
CONVENZIONE
tra
Azienda Ospedaliera di Padova Codice Fiscale e Partita IVA 00349040287, con sede in via Giustiniani, 1,
rappresentata nel presente atto dal Dott. Luciano Flor, nato a Revò (TN), il 24/02/21958, il quale interviene nel presente
atto non in proprio, ma in qualità di Direttore Generale dell’Azienda Ospedaliera di Padova;
e
ARSENÀL.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale (di seguito, per brevità, Arsenàl.IT),
Codice Fiscale e Partita IVA 04013550266, con sede legale in Treviso, Viale Guglielmo Oberdan n.5, rappresentata nel
presente atto dal dott. Mauro Rizzato, nato a Treviso, il 17 gennaio 1978, il quale interviene nel presente atto non in
proprio, ma in qualità di Direttore Amministrativo di Arsenàl.IT;
Premesso che:
a) il “Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di
tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per
brevità, anche GDPR – prevede un’intensa attività di organizzazione a carico delle amministrazioni pubbliche e
nuovi adempimenti, tra cui la designazione del Responsabile della Protezione dei Dati – di seguito, per brevità,
RPD – ex articolo 37 GDPR;
b) con riguardo alla designazione del RPD, l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del
trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico
responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici,
tenuto conto della loro struttura organizzativa e dimensione”;
c) in tale contesto, il Comitato dei Direttori Generali, di cui all’art. 3 l.r. n. 19/2016, nella seduta del 05.03.2018, ha
espresso l’opzione per la nomina di un unico RPD per tutte le Aziende Sanitarie venete, indicando il Consorzio
Arsenàl.IT per lo svolgimento delle attività connesse all’individuazione, alla nomina e all’operatività di tale figura;
d) con Decreto del Commissario n.157 del 26 aprile 2018 Azienda Zero ha approvato e affidato al Consorzio il
progetto con oggetto “supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile
della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto”, predisposto da Arsenàl.IT su
richiesta di Azienda Zero e di seguito individuato, per brevità, anche come Progetto;
e) il succitato Decreto n. 157/2018 è stato inviato a questa Azienda Sanitaria con nota di Azienda Zero prot. n.
5455 del 27 aprile 2018;
f) l’adesione al succitato Progetto avviene su base volontaria;
g) con nota prot. n. 6045 del 11/05/2018, Azienda Zero, ha trasmesso alle Aziende Sanitarie il Progetto e il
presente schema di convenzione per l’adesione volontaria al medesimo;
h) che nel documento “Progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per
l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del
Veneto” sono stati previsti, alla sezione “Ruoli nel progetto”, specifici ruoli e attività in capo alle Aziende
Sanitarie aderenti e ad Arsenàl.IT;
deliberazione n. 659 del 22/5/2018 pagina 6 di 22i) che l’Azienda Ospedaliera di Padova, con Deliberazione n. …….. del ……… del Direttore Generale, ha preso
atto del Progetto e vi ha aderito, impegnandosi a svolgere le attività previste nella sezione “Ruoli nel progetto” e
approvando il presente schema di convenzione;
j) che con medesima Deliberazione, come previsto nel Progetto, è stato individuato il referente aziendale nella
persona dell’avv. Maria Grazia Calì o Suo delegato, Sostituto Responsabile della UOC Affari Generali e legali;
Tutto ciò premesso, tra le Parti si conviene quanto segue:
1) PREMESSE
Le premesse costituiscono parte integrante della presente Convenzione.
2) OGGETTO
La presente Convenzione regola i rapporti tra le Parti per l’attività di cui al “Progetto tecnico e proposta economica
per supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati
(RPD) unico per tutte le Aziende Sanitarie del Veneto” – di seguito, per brevità, “Progetto”, articolato nelle seguenti
3 fasi, meglio dettagliate nel medesimo:
• FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al GDPR da parte delle
Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina RPD unico;
• FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a seguito dei
futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità Garante – delle risultanze della
prima applicazione del modello proposto su base regionale e dell’adeguatezza delle modalità di erogazione del
servizio;
• FASE III (01.01.2019 – 31.12.2019, in linea con le progettualità consortili attive): attività del RPD unico, con
eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio,
avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali
adottati.
Il Progetto, allegato alla presente, costituisce ed è espressamente riconosciuto come parte integrante e sostanziale
della presente Convenzione e pienamente vincolante tra le Parti. Le Parti danno atto che tale documento potrà
essere suscettibile di aggiornamento e modifica, previo accordo scritto tra le Parti medesime.
3) ADEMPIMENTI DELL’AZIENDA SANITARIA
In base alla propria adesione, al fine di garantire l’operatività del Progetto, l’Azienda Ospedaliera di Padova, titolare
ex lege del trattamento dei dati, si impegna a svolgere le seguenti attività:
• Nominare quale proprio RPD il soggetto individuato da Arsenàl.IT;
• individuare e comunicare ad Arsenàl.IT il nominativo del proprio referente interno, ovvero del soggetto preposto
agli adempimenti aziendali in materia di privacy (come da Deliberazione del Direttore Generale n. ….. del
……….), con funzioni di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018);
• mettere a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD.
La nomina del RPD sarà effettuata seguendo le indicazioni fornite in materia da parte dell’Autorità Garante.
Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo.
4) ADEMPIMENTI DI ARSENÀL.IT
deliberazione n. 659 del 22/5/2018 pagina 7 di 22Arsenàl.IT si impegna, subordinatamente alla messa a disposizione delle professionalità da parte delle Aziende
Sanitarie per il Board RPD, come previsto dal Progetto – tra l’altro – allo svolgimento delle seguenti principali
attività:
Fase I
• Project management Gruppo di Lavoro;
• Individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle Aziende
Sanitarie.
Fase II
• Attività necessarie a garantire l’operatività del RPD unico per le Aziende Sanitarie;
• coordinamento operativo e organizzativo del Board RPD.
Fase III
• Prosecuzione delle attività previste nella Fase II, con eventuali adattamenti del modello organizzativo
proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività
condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione.
Arsenàl.IT, inoltre, si impegna a realizzare gli output così come indicati alla Sezione rubricata “Piano degli output di
Arsenàl.IT” del Progetto.
Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo.
Le parti si danno reciprocamente atto che Arsenàl.it e il Responsabile della Protezione dei Dati, nello svolgimento
delle attività di cui alla presente convenzione, non si sostituiscono alle Aziende Sanitarie (Titolari del Trattamento)
negli adempimenti posti normativamente a carico delle stesse né, pertanto, al ruolo istituzionale degli Uffici aziendali
rispettivamente competenti in materia di privacy.
5) DURATA
Le Parti convengono che la durata della presente Convenzione decorra dalla data della sua sottoscrizione e fino al
31.12.2019.
Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate per iscritto tra le Parti.
deliberazione n. 659 del 22/5/2018 pagina 8 di 226) CORRISPETTIVO
Per quanto concerne gli aspetti relativi al corrispettivo per le attività svolte da Arsenàl.IT, si precisa che gli oneri
derivanti dall’esecuzione delle stesse “troveranno copertura nel bilancio di Azienda Zero”, come disposto al punto 4
del Decreto commissariale della medesima n. 157 del 26 aprile 2018.
7) RISERVATEZZA
La presente Convenzione impegna le Parti e il personale coinvolto nel Progetto a non divulgare o comunque a non
utilizzare dati o fatti inerenti all’altra Parte, senza preventivo esplicito consenso, salvo diversi accordi.
Le Parti e il personale coinvolto nel Progetto si impegnano a non divulgare la documentazione reciprocamente
fornita alla scadenza della presente Convenzione e, in ogni caso, a conservarla come depositari per almeno i cinque
anni successivi al termine finale, fatto salvo quanto diversamente concordato tra le Parti.
Per “informazione confidenziale” si intende ogni oggetto, descrizione, disegno, layout di circuito, nastri, dischi ed
ogni altro supporto leggibile da computer, documenti scritti, informazioni, incluse informazioni visive e verbali,
tecnologie e know-how, che:
• siano attinenti ad attività passate, presenti o future svolte dal Consorzio e dalle Aziende consorziate nei
diversi campi in cui esse operano;
• sia attinente in generale all’organizzazione, all’attività del personale, agli investimenti, ai dati tecnici, ai
rapporti contrattuali, ai diritti, alle obbligazioni e alle responsabilità del Consorzio e delle Aziende
consorziate;
• risultino dall’attività oggetto della presente Convenzione.
Le Parti e il personale coinvolto nel Progetto – salvo quanto diversamente disposto dalla presente Convenzione –
convengono che qualsiasi informazione confidenziale ricevuta:
• sarà protetta e considerata confidenziale, con lo stesso grado di precauzione e tutela utilizzato per le
informazioni di proprietà della Parte ricevente e comunque non inferiore alla diligenza del buon padre di
famiglia;
• non dovrà essere rivelata, direttamente o indirettamente, a terzi;
• sarà utilizzata solo da dipendenti e/o collaboratori che abbiano necessità di conoscerla e, comunque, solo
per gli scopi specificati nella presente Convenzione; i dipendenti e/o collaboratori sono tenuti a non
divulgare le informazioni confidenziali di cui siano a conoscenza e ciascuna parte resta responsabile per
l’esatta osservanza da parte dei propri dipendenti e/o collaboratori degli obblighi di segretezza anzidetti;
• non dovrà essere copiata, riprodotta o duplicata, né impiegata, anche parzialmente, per scopi diversi da
quelli stabiliti dalla presente Convenzione, senza preventivo consenso scritto dell’altra Parte.
Qualunque informazione confidenziale o relativa copia, prodotta da ciascuna Parte, rimarrà di proprietà della stessa,
salvo quanto diversamente disposto dalla presente Convenzione.
L'impegno di segretezza:
• non sorge o cessa di esistere riguardo alle informazioni confidenziali che siano divenute di pubblico
dominio per fatto non imputabile alla Parte tenuta alla segretezza;
• non sorge riguardo alle informazioni confidenziali che si possa documentalmente dimostrare che erano già
note alla Parte che le riceve;
deliberazione n. 659 del 22/5/2018 pagina 9 di 22• non sorge o cessa di esistere riguardo a quelle informazioni confidenziali che siano state comunicate alla
Parte tenuta alla segretezza anche da una terza parte avente il diritto di farlo senza obbligo di segretezza;
non sorge quando il destinatario delle informazioni sia obbligato a comunicare o divulgare le notizie,
informazioni, documentazioni confidenziali in ottemperanza di una richiesta di qualsiasi Autorità o in forza di
un obbligo di legge. In tal caso il destinatario darà tempestiva notizia scritta di tale comunicazione o
divulgazione alla controparte.
8) RISULTATI
Le Parti concordano e si danno reciprocamente atto che saranno egualmente proprietarie dei risultati scaturiti dalle
attività comuni di cui alla presente Convenzione, fatti comunque salvi i diritti morali dovuti agli autori.
I risultati comuni scaturiti dall'attività progettuale saranno utilizzati, divulgati, pubblicati e sfruttati dalle Parti avuto
merito della natura del Progetto, nel pieno rispetto delle finalità istituzionali delle Parti medesime, dei loro
Regolamenti interni e della normativa vigente in materia, fatti comunque salvi diversi accordi da formalizzarsi per
iscritto.
Ciascuna Parte rimane proprietaria delle conoscenze e dei risultati raggiunti autonomamente nell’ambito della
presente Convenzione, ove individuabili.
Tutte le informazioni, le conoscenze e i diritti di proprietà intellettuale posseduti da una Parte prima della
conclusione della presente Convenzione, sviluppati o acquisiti parallelamente o contemporaneamente alla stessa,
ma con modalità indipendenti dalla sua esecuzione, resteranno di proprietà esclusiva di detta Parte, che rimarrà
libera di utilizzarli o rivelarli a sua sola discrezione.
9) ASSICURAZIONI E SICUREZZA
Ai sensi dell'art. 10 D.M. n. 363/1998, gli obblighi previsti d.lgs. n. 81/2008 in materia di sicurezza sul lavoro gravano
sulla Parte ospitante, per quanto riguarda il personale che si trovi presso di essa nell’espletamento di attività
connesse all’attuazione della presente Convenzione. Anche il personale ospitato è tenuto a osservare le norme in
materia di prevenzione e protezione dettate dall’ente ospitante, che provvederà previamente a garantirne la
conoscenza.
Arsenàl.IT garantisce che il proprio personale impegnato nelle attività di cui all’art. 1 presso le strutture dell’Azienda
Zero è assicurato per responsabilità civile e contro gli infortuni.
L’Azienda Zero, analogamente, garantisce che il personale coinvolto nelle attività oggetto della presente
Convenzione presso le strutture del Consorzio è assicurato per responsabilità civile e contro gli infortuni.
Inoltre, il personale coinvolto nel Progetto è tenuto a uniformarsi ai regolamenti disciplinari e di sicurezza in vigore
nelle sedi di esecuzione delle attività attinenti alla presente Convenzione, nel rispetto della normativa per la
sicurezza dei lavoratori di cui al d.lgs. n. 81/2008 e ss.mm.ii., osservando, in particolare, gli obblighi di cui all’art. 20
del decreto citato, nonché le disposizioni del responsabile del servizio di prevenzione e protezione.
Gli obblighi previsti dall’art. 26 d.lgs. n. 81/2008 e ss.mm.ii. e la disponibilità di dispositivi di protezione individuale
(DPI), in relazione ai rischi specifici presenti nella struttura ospitante, sono attribuiti al soggetto di vertice della
struttura ospitante. Tutti gli altri obblighi ricadono sul responsabile dell’ente di provenienza.
10) PRIVACY
Le Parti e il personale coinvolto nel Progetto si impegnano a osservare quanto disposto dalle vigenti norme in
materia di data protection in relazione ai dati personali eventualmente acquisiti e/o utilizzati per lo svolgimento delle
attività di cui alla presente Convenzione.
deliberazione n. 659 del 22/5/2018 pagina 10 di 22Ai sensi e per gli effetti delle norme vigenti in materia di data protection, le Parti e il personale coinvolto nel Progetto
prestano il consenso al trattamento dei propri dati personali per l’esecuzione di tutte le operazioni e attività
connesse alla presente Convenzione.
Il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della
riservatezza e dei diritti.
11) CONTROVERSIE
Le Parti concordano di definire amichevolmente qualsiasi controversia dovesse sorgere dalla interpretazione o
applicazione della presente Convenzione.
Qualora non fosse possibile risolvere bonariamente le controversie, il Foro competente a dirimere le stesse è, in via
esclusiva, quello di Padova.
12) RINVIO A NORME DI LEGGE
Per quanto non previsto dalla presente Convenzione, si rinvia alle vigenti norme nazionali e regionali in materia.
13) STIPULA E DISPOSIZIONI FINALI
La presente Convenzione è sottoscritta con firma digitale ai sensi dell’articolo 24 del d.lgs. n. 82/2005 (Codice
dell’amministrazione digitale) e ss.mm.ii. Eventuali proroghe o modifiche alla presente Convenzione dovranno
essere sottoscritte dalle Parti con le medesime modalità.
Il presente atto è letto, approvato specificamente articolo per articolo, premesse incluse, e sottoscritto.
Per l’Azienda Ospedaliera di Padova Per il Consorzio Arsenàl.IT
IL DIRETTORE GENERALE IL DIRETTORE AMMINISTRATIVO
Dott. Luciano Flor
Le parti dichiarano di approvare specificamente la clausola di cui all’art. 11) Controversie.
Per l’Azienda Ospedaliera di Padova Per il Consorzio Arsenàl.IT
IL DIRETTORE GENERALE IL DIRETTORE AMMINISTRATIVO
Dott. Luciano Flor
deliberazione n. 659 del 22/5/2018 pagina 11 di 22Arsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
Allegato: Rif. Nota Azienda Zero prot. N 3822 del 27.03.2018
Oggetto: progetto tecnico e proposta economica per supporto adeguamento al
GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati
(RPD) unico per tutte le Aziende Sanitarie del Veneto
1. PREMESSE E CONTESTO DI RIFERIMENTO
Il 25.05.2018 scadrà il termine per i Titolari del trattamento per adeguarsi al “Regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga
la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per brevità, GDPR –
con cui sono previsti nuovi adempimenti, oltre a una intensa attività di organizzazione a carico delle
amministrazioni pubbliche.
Il Garante per la protezione dei dati personali suggerisce a quest’ultime, attraverso una scheda
informativa1, di avviare, con assoluta priorità: la designazione del Responsabile della protezione dei dati
– RPD (artt. 37-39), noto anche con l’acronimo inglese “DPO” (Data Protection Officer); l’istituzione del
Registro delle attività di trattamento (art. 30 e cons. 171); la notifica delle violazioni dei dati personali
(c.d. Data Breach, artt. 33 e 34).
Con specifico riguardo alla designazione del Responsabile della Protezione dei Dati – di seguito, per
brevità, RPD – l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del trattamento o il
responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile
della protezione dei dati (RPD nda) può essere designato per più autorità pubbliche o organismi
pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
Risulta indispensabile, pertanto, adempiere alle nuove disposizioni del GDPR – nei termini stabiliti dalla
normativa, come sopra richiamati – garantendo, da un lato, l’uniformità e l’organicità dei processi
organizzativi e informativo-informatici di tutte le Aziende del SSR e, dall’altro, lo sviluppo di modelli
organizzativi in grado di creare sinergie tra i diversi soggetti coinvolti, evitando la frammentarietà delle
informazioni e valorizzando la trasversalità dei processi, nel rispetto dei principi di efficienza, efficacia,
razionalità ed economicità nell’impiego delle risorse.
La necessità di uniformazione e di convergenza verso modelli organizzativi comuni trova fondamento,
in primis, nella riforma del Sistema Sanitario Regionale del Veneto, di cui alla Legge Regionale n. 19 del
25.10.2016, recante "Istituzione dell'ente di governance della sanità regionale veneta denominato
"Azienda per il governo della sanità della Regione del Veneto - Azienda Zero". Disposizioni per la
individuazione dei nuovi ambiti territoriali delle Aziende ULSS". Tale intervento normativo, oltre alla
ridefinizione dell’assetto organizzativo delle Aziende ULSS, istituisce l’Azienda Zero, con finalità di
razionalizzazione, integrazione ed efficientamento dei servizi sanitari, socio-sanitari e tecnico-
amministrativi del servizio sanitario regionale.
La DGR n. 1785 del 07.11.2016, peraltro, definisce le linee di intervento finalizzate al potenziamento e
alla razionalizzazione del Sistema informativo socio-sanitario, attraverso una diffusione sistemica del
modello organizzativo attuato con il Progetto FSEr e conferma il Consorzio Arsenàl.IT quale soggetto
individuato per il coordinamento gestionale, la direzione lavori e l’assistenza agli avviamenti della Fase II
del Progetto FSEr medesimo, con verifica e validazione degli standard impiegati. Tra le attività affidate
al Consorzio rientra, tra l’altro, il presidio degli aspetti di privacy e sicurezza nel trattamento dei dati
personali, in continuo raccordo con i referenti individuati dalle Aziende Sanitarie.
1
http://www.garanteprivacy.it/regolamentoue/formazione/#prioritaPA
1
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 12 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
Nella medesima ottica, ad Arsenàl.IT – giusta Decreto commissariale di Azienda Zero n. 369 del
15.12.2017 – è stata affidata la realizzazione del “Fascicolo Amministrativo Contabile Elettronico
regionale – FACEr”, le cui attività si sviluppano contiguamente all’evoluzione del Progetto FSEr.
In tale contesto, a garanzia del puntuale e uniforme adeguamento al GDPR da parte delle Aziende
Sanitarie, nonché a garanzia dello sviluppo delle attività progettuali di interesse regionale secondo i
principi della privacy by design2, è emersa l’opportunità di individuare un unico RPD per tutte le
Aziende SSR, fornendo alle stesse un supporto unitario e trasversale.
In tal senso, come comunicato con nota di Azienda Zero protocollo n. 3822 del 27.3.2018, il Comitato
dei Direttori Generali ex l.r. n. 19/2016 ha espresso l’opzione per la nomina di un RPD per tutte le Aziende
Sanitarie venete, indicando, a tal fine, il Consorzio Arsenàl.IT per lo svolgimento delle attività necessarie
all’individuazione, alla nomina e all’operatività di tale figura.
2. IL PROGETTO E L’ORGANIZZAZIONE
Alla luce delle premesse, a seguito della seduta del 05.03.2018 del Comitato dei Direttori Generali, con
nota protocollo n. 3822 del 27.03.2018, Azienda Zero ha richiesto ad Arsenàl.IT di formulare una proposta
tecnico-economica per il supporto all’adeguamento al GDPR e per lo svolgimento delle attività
necessarie all’individuazione, alla nomina e all’operatività di un RDP unico per tutte le Aziende Sanitarie
della Regione del Veneto.
Di seguito si riporta la proposta tecnico-economica richiesta, comprensiva della descrizione dei modelli
organizzativi applicabili.
Il progetto si articolerà in tre fasi:
• FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al
GDPR da parte delle Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina
RPD unico;
• FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a
seguito dei futuri provvedimenti del Legislatore nazionale e indicazioni dell’Autorità Garante –
delle risultanze della prima applicazione del modello proposto su base regionale e
dell’adeguatezza delle modalità di erogazione del servizio;
• FASE III (01.01.2019 – 31.12.2019, in linea con progettualità consortili attive): attività del RPD
unico, con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle
modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso
della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione.
2.1 FASE I (01.04.2018 - 24.05.2018)
La Fase I prevede che:
a. Arsenal.IT si impegni a organizzare il modello RPD di cui al presente documento;
b. Arsenal.IT coordini il supporto alle Aziende Sanitarie nelle attività preliminari all’ adeguamento
al GDPR attraverso un Gruppo di Lavoro multidisciplinare, con professionalità messe a
disposizione dalle Aziende Sanitarie.
Composizione del Gruppo di Lavoro:
• Arsenàl.IT (Project Manager);
• esperti area privacy – Azienda Sanitaria;
2 I principi della privacy by design prevedono che gli aspetti di riservatezza e sicurezza nel trattamento dei dati siano valutati, sin
dalla fase di progettazione di una soluzione aziendale, unitamente alle relative applicazioni informatiche di supporto.
2
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 13 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
• esperti area legale – Azienda Sanitaria;
• esperti area ICT – Azienda Sanitaria.
Funzioni del Gruppo di Lavoro:
- individuazione di linee guida e condivisione con le Aziende Sanitarie di modelli standard
per l’adeguamento alle disposizioni del GDPR (linee guida/regolamenti su ruolo e compiti
RPD, linee guida in materia di Data Breach, modello registro trattamenti, etc.).
c. a chiusura della fase I, le Aziende Sanitarie potranno nominare, su base volontaria, un RPD
unico – esterno – individuato a cura di Arsenàl.IT..
2.2.FASE II (25.05.2018 - 31.12.2018)
La Fase II prevede che il RPD unico venga nominato da ciascuna Azienda Sanitaria e con il supporto
di un Board multidisciplinare, svolga a favore di tutte le Aziende Sanitarie – inclusa Azienda Zero – i
compiti declinati dall’articolo 39 del GDPR, sulla base del seguente modello organizzativo:
A garanzia di una più estesa condivisione dei contenuti e dei modelli di riferimento potrà continuare
l’attività del Gruppo di Lavoro.
In considerazione dei futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità
Garante, nel corso del primo periodo di attività del RPD unico sarà condotta una valutazione delle
risultanze della prima applicazione del modello proposto su base regionale e dell’adeguatezza delle
modalità di erogazione del servizio.
Risulta necessario, infatti, valutare se la struttura organizzativa e le attività di RPD proposte nella Fase II
(sino al 31.12.2018) – e il nuovo assetto che ne deriva, anche all’interno delle Aziende SSR – si adattino
alle nuove disposizioni dell’ordinamento interno, non ancora promulgate e che potrebbero avere
ricadute organizzativo-economiche attualmente non prevedibili e preventivabili.
Funzioni RPD unico (ex art. 39 GDPR)
a) Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento,
nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR,
nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla
protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del
trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle
3
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 14 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e
alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR;
d) cooperare con l'autorità di controllo;
e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra
cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed effettuare, se del caso,
consultazioni relativamente a qualunque altra questione.
Arsenàl.IT si occuperà delle attività necessarie all’individuazione, alla nomina e all’operatività del
RPD unico per le Aziende Sanitarie (inclusa Azienda Zero), con i compiti di cui all’articolo 39 del
GDPR. A tal fine, il Consorzio si rivolgerà a professionalità esterne, in modo tale da garantire la
terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni di potenziale
conflitto di interessi.
Board RPD
Il Board RPD3 avrà compiti di supporto operativo al RPD unico nelle funzioni a questo attribuite.
Per lo svolgimento dell'incarico, Arsenàl.IT abbisogna dell’apporto di specifici profili professionali non
presenti nel proprio organico, come di seguito riportati:
- n. 1 profilo specialista in ambito legale, con comprovata esperienza e specifica
conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e
delle procedure amministrative che caratterizzano il settore sanitario;
- n. 1 profilo specialista in ambito informatico, con comprovata esperienza in ambito IT e
specifica conoscenza degli applicativi del settore sanitario e amministrativo;
- n. 1 profilo specialista nell’ambito di processi aziendali, con comprovata esperienza e
approfondita conoscenza maturata nell’ambito della direzione sanitaria.
A tal fine, si prevede la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli
d'intesa ex articolo 23bis d.lgs. n. 165/2001 tra Arsenàl.IT e le proprie consorziate, per l'assegnazione
temporanea a tempo pieno presso il Consorzio di 3 profili professionali, come sopra individuati.
Il Board RPD – in base alle specifiche esigenze operative – potrà coinvolgere altre professionalità
specialistiche provenienti dagli enti SSR, nelle modalità qui definite, nonché altri soggetti esperti,
anche esterni.
Il modello organizzativo qui proposto permette, altresì, di promuovere l’acculturamento e la
specializzazione in seno o per il tramite al board medesimo. Attraverso un idoneo programma di
affiancamento e avvicendamento potranno essere create figure professionali idonee allo svolgimento
o al supporto della attività privacy dall’interno delle Aziende Sanitarie.
2.3. FASE III (01.01.2019 - 31.12.2019)
La Fase III prevede la prosecuzione/evoluzione delle stesse attività della Fase II per quanto riguarda il
servizio di RPD Unico e il coordinamento del Board RPD.
Le modalità di erogazione dell’attività per l’anno 2019 (Fase III) potranno subire variazioni e/o
adattamenti da un punto di vista organizzativo e finanziario, avuto merito delle risultanze della
valutazione condotta nel corso della Fase II.
3. RUOLI NEL PROGETTO
3 Il Board RPD è il team multidisciplinare, composto da figure di esperti in ambiti specifici (legale, protezione dei dati, ICT,
organizzativo), così come indicato dalle linee guida del Working Group Articolo 29 (organismo consultivo e indipendente, composto
da un rappresentante delle Autorità di protezione dei dati personali designate da ciascuno Stato membro).
4
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 15 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
4.1 Ad Azienda Zero compete:
a) emanazione Decreto commissariale per:
- approvazione proposta tecnico-economica di Arsenàl.IT per le attività fino al 31.12.2019 e
affidamento servizio;
- promuovere la costituzione del Board RPD, attraverso l’istituto dell’assegnazione
temporanea sopra richiamata;
- avvio procedure per acquisizione strumento IT unico per registro attività di trattamento.
b) acquisizione strumento IT unico per il registro delle attività di trattamento (da rendere
operativo entro il 24.05.2018).
4.2 Alle Aziende SSR (inclusa Azienda Zero) compete, su base volontaria:
a) la nomina del RPD unico individuato da Arsenàl.IT, secondo uno schema tipo di convenzione;
b) l’individuazione e comunicazione ad Arsenàl.IT del nominativo del proprio referente interno,
ovvero del soggetto preposto agli adempimenti aziendali in materia di privacy, con funzioni
di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018 – cfr. par. 2.2) e messa
a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD;
c) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli d’intesa ex articolo
23bis d.lgs. n. 165/2001 con il Consorzio, per l'assegnazione temporanea presso Arsenàl.IT, a
tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla
sezione 2.2 del presente documento. L'onere per la corresponsione del trattamento
economico al personale temporaneamente assegnato sarà a carico dell’Azienda SSR di
appartenenza.
4.3 Attività Arsenàl.IT:
Fase I
a) Project management Gruppo di Lavoro:
- coordinamento, organizzazione e conduzione delle attività del Gruppo di Lavoro;
- pianificazione e supporto per attività di analisi sullo stato dell'arte dell'adeguamento al
GDPR da parte delle Aziende SSR e delle eventuali azioni di miglioramento/rafforzamento;
- attività di raccordo tra e con i referenti delle Aziende Sanitarie;
- coordinamento dei contenuti delle linee guida e modelli sviluppati dal Gruppo di Lavoro
con le Aziende Sanitarie;
b) la predisposizione di uno schema tipo di convenzione per l’adesione al progetto da parte
delle Aziende Sanitarie e per la nomina del RPD unico individuato da Arsenàl.IT;
c) l’individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle
Aziende Sanitarie;
d) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli di intesa ex articolo
23bis d.lgs. n. 165/2001 con le Aziende SSR, per l'assegnazione temporanea presso Arsenàl.IT, a
tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla
sezione 2.2 del presente documento. Il Consorzio, ai sensi del richiamato articolo 23bis d.lgs. n.
165/2001, potrà riconoscere al personale temporaneamente assegnato un compenso
aggiuntivo in ragione delle attività svolte, facendosi carico del relativo onere economico.
Fase II
a) Arsenàl.IT svolgerà le attività necessarie a garantire l’operatività del RPD unico per le Aziende
Sanitarie (inclusa Azienda Zero) aderenti. Il RPD unico individuato svolgerà i compiti di cui
all’articolo 39 del GDPR, come di seguito richiamati:
5
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 16 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento,
nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal
GDPR, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione
dei dati;
- sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del
responsabile del trattamento in materia di protezione dei dati personali, compresi
l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che
partecipa ai trattamenti e alle connesse attività di controllo;
- fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR;
- cooperare con l'autorità di controllo;
- fungere da punto di contatto per l'autorità di controllo per questioni connesse al
trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed
effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Per il ruolo di RPD unico il Consorzio si rivolgerà a professionalità esterne, in modo tale da
garantire la terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni
di potenziale conflitto di interessi;
b) coordinamento operativo e organizzativo del Board RPD.
Fase III
Arsenàl.IT continuerà a svolgere le attività necessarie a garantire l’operatività del RPD unico per
le Aziende Sanitarie (inclusa Azienda Zero), con eventuali adattamenti del modello organizzativo
proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze
dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in
corso di emanazione.
6
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 17 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
5 GANTT
Si propone di seguito il GANTT generale del progetto.
FASE I FASE II FASE III
(dall’incarico - (25.05.2018 - (01.01.2019 -
ATTIVITÀ 24.05.2018) 31.12.2018) 31.12.2019)
Milestone 1 Milestone 2 Milestone 3 Milestone 4
30.04.2018 24.05.2018 31.12.2018 31.12.2019
a) Elaborazione convenzione
tipo per adesione al progetto e CONVENZIONE
nomina RPD
b) Ricognizione dello stato
AS IS
dell'adeguamento al GDPR
c) Individuazione di linee guida
e modelli comuni per Aziende LINEE GUIDA E MODELLI
aderenti al RPD unico
d) Acquisizione e operatività
dello strumento IT (registro ACQUSIZIONE E OPERATIVITÀ
trattamenti unico) da parte di STRUMENTO IT
Azienda Zero
e) Nomina RPD unico da parte NOMINA RPD
dei titolari UNICO
f) Attività RPD e coordinamento
ATTIVITÀ RPD E BOARD
Board RPD anno 2018
h) Attività RPD e coordinamento
ATTIVITÀ RPD E BOARD
Board RPD anno 2019
7
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 18 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiArsenàl.IT
Centro Veneto Ricerca e Innovazione per la Sanità Digitale
6 PIANO DEGLI OUTPUT DI ARSENÀL.IT
Di seguito sono riportati gli output di Arsenàl.IT, con indicazione della relativa scadenza.
OUTPUT TERMINI
Schema tipo convenzione per adesione al progetto e per la nomina del
30.04.2018
RPD unico
Reportistica sullo stato di adeguamento al GDPR da parte Az. SSR (as is) 30.04.2018
Linee guida e modelli comuni per Aziende Sanitarie (prima release) 24.05.2018
Attività per operatività RPD unico e coordinamento board RPD (con
31.12.2018
produzione di reportistica, di norma trimestrale) – anno 2018
Attività per operatività RPD unico e coordinamento board RPD (con
31.12.2019
produzione di reportistica, di norma trimestrale) – anno 2019
7 DURATA ATTIVITÀ ARSENÀL.IT
L'affidamento dei servizi ad Arsenàl.IT per lo svolgimento delle attività progettuali previste nella Fase I e II
avrà durata fino al 31.12.2018.
La Fase III avrà durata dall’01.01.2019 al 31.12.2019.
Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate tra le Parti con
accordo scritto.
8 DIMENSIONAMENTO ECONOMICO ARSENÀL.IT
Le attività previste per il periodo fino al 31.12.2019 prevedono, a beneficio del consorzio Arsenal.IT, un
corrispettivo pari ad Euro 496.500,00 (quattrocentonovantasemilacinquecento/00), al netto di IVA di
legge, secondo lo schema che segue.
2018 2019
Fasi I e II Fase III TOTALE
FTE 72.000 € 89.000 € 161.000 €
SERVIZI ESTERNI 167.000 € 168.500 € 335.000 €
TOTALE 239.000 € 257.500 € 496.500 €
Nei budget per servizi esterni sono ricompresi: l’eventuale compenso aggiuntivo per le figure
professionali delle Aziende Sanitarie in assegnazione temporanea presso Arsenàl.IT ex art. 23bis d.lgs. n.
165/2001, l’affidamento dell’incarico di RPD esterno, nonché l’acquisizione di ulteriori servizi specialistici
in base alle necessità progettuali.
Per lo svolgimento delle attività previste, Arsenàl.IT si avvarrà di un Project Manager SR e di profili
specialistici in materia (specialist SR, IT specialist, functional analyst) secondo quanto sotto riportato.
Il costo dimensionato è pari a: Euro 700,00/giornata per Project Manager SR e specialist SR; Euro
400,00/giornata per IT specialist e functional analyst. Nella tabella seguente si riporta la stima delle
giornate uomo che saranno erogate complessivamente da Arsenàl.IT, suddivise per attività.
8
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 19 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservatiPuoi anche leggere
