REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA

Pagina creata da Elena Bertini
 
CONTINUA A LEGGERE
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
REGIONE DEL VENETO
                     AZIENDA OSPEDALIERA DI PADOVA

              Delibera del Direttore Generale n. 659 del 22/05/2018

OGGETTO: Approvazione schema di convenzione con Arsenàl.IT-Centro
         V e n e t o R i ce r c a e I n n o v a z i o n e p e r l a S a n i t à D i g i t a l e - p e r
         l ' a d e s i o n e a l P r o g e t t o " S u p p o r t o p e r l ' a d e g u a m e n t o a l G D PR e
         attività per l'espletamento del ruolo di Responsabile della
         Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie
         del Veneto".

N O T E T R A S P A R E N Z A : Con il presente provvedimento si approva lo schema di
convenzione con Arsenàl.IT-Centro Veneto Ricerca e Innovazione per la Sanità Digitale -
  per    l'attività di cui al "Progetto tecnico e proposta economica per supporto
adeguamento al GDPR e attività per l'espletamento del ruolo di Responsabile della
Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto" , che avrà
durata dalla data di sottoscrizione della convenzione sino al 31/12/2019.

Il Direttore della UOC Affari Generali e Legali riferisce:

Il 25/05/2018 scadrà il termine per i Titolari del Trattamento per
 a d e g u a r s i a l R e g o l a m e n t o ( U E ) 2 0 1 6 / 6 7 9 d e l P a r l a m e n t o e u r o pe o e d e l
 Consiglio del 27/04/2016 ( noto anche con l’acronimo inglese di GDPR -
 General Data Protection Regulation-) relativo alla protezione delle
 p e r s o n e f i s i c h e c o n r i g u a r d o a l t r a t t a m e n t o d e i d a t i p e r so n a l i , n o n c h é
 a l l a l i b e r a c i r c o l a z i o ne d i t a l i d a t i , c h e a b r o g a l a d i r e t t i v a 9 5 / 4 6 / C E
 ( r e g o l a m e n t o g e n e r a l e s u l l a p r o t e z i o ne d e i d a t i ) , e m i r a a g a r a n t i r e u n a
 disciplina uniforme ed omogenea in tutto il territorio dell'Unione
 e ur o p e a .

L e n o r m e i n t r o d o t t e d a l R e go l a m e n t o U E 2 0 1 6 / 6 7 9 p r e v e d o n o n u o v i
a d e m p i m e n t i , o l t r e a u n ’ i n t e n s a a t t i v i t à d i o r g a n i z z a z i o n e a c a r i c o de l l e
amministrazioni pubbliche che si traducono in obblighi organizzativi,
d o c u m e n t a l i e t e c n i c i d a a d o t t a r e p e r c o n s e n t i r e l a p i e n a e co n s a p e v o l e
applicazione del nuovo quadro normativo in materia di privacy.

Questa Azienda Ospedaliera ha, quindi, ritenuto opportuno, sin da subito,
affrontare la tematica in argomento, in aderenza anche al nuovo principio
di "accountability" (obbligo di rendicontazione), per cui il titolare dovrà
dimostrare l'adozione di politiche privacy e di misure di sicurezza,
organizzative e tecniche, adeguate ed efficaci a protezione dei dati, in

                                             deliberazione n. 659 del 22/5/2018 pagina 1 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
REGIONE DEL VENETO
                       AZIENDA OSPEDALIERA DI PADOVA

c o n f o r m i t à a l R e g o l a m e n t o , d i s c i p l i n a n d o c o m p i t i , r e go l a m e n t i e p o l i c y
interne che garantiscano l’assolvimento dei (non pochi) adempimenti
i m p o s t i d a l l e n o r me e u r o p e e , a t u t e l a d e i d i r i t t i e d e l l e l i b e r t à de g l i
interessati.

A l l a l u c e d i c i ò , c o n d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 i l D i r e t t o r e
G e ne r a l e d e l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a h a , q u i n d i , a p p r o v a t o , q u a l e
s t r u m e n t o a c a r a t t e r e p r o g r a m m a t i c o u n a R e l az i o n e T e c n i c a c h e
rappresenta, in modo schematico e per quanto possibile sintetico, gli
a d e m p i m e n t i c u i d e v e f a r f r o n t e q u e s t a A z i e n d a O s pe d a l i e r a p e r e f fe t t o
d e l l e n o r m e e u r o pe e , i n d i v i d u a n d o g l i a m b i t i d i a t t i v i t à az i e n d a l e d o v e f a r
rientrare i numerosi adempimenti di carattere strategico, organizzativo,
t e c n o l o g i c o i n f o r m a t i c o e co m u n i c a t i v o , t e n e n d o c o n t o s i a d e l f a t t o c he
m o l t i d i q u e s t i a d e m p i m e n t i n o n s o n o a n c o r a b e n d e f i n i t i pe r i l d e s c r i t t o
contesto normativo attuale, sia delle disposizioni organizzative contenute
nel nuovo atto Aziendale di questa Azienda Ospedaliera (ad oggi ancora
a l v a g l i o d e l l a R e g i o n e V e ne t o p e r l a p r e v i s t a v a l u t a z i o n e d i c o n f o r m i t à ) .

Tra i molteplici adempimenti previsti dal Regolamento UE 2016/679 il
Garante per la protezione dei dati personali ha suggerito alle
Amministrazioni, attraverso una scheda informativa, di avviare con
a s s o l u t a p r i o r i t à : l a d e s i g n a z i o n e d e l R e s p o n s a b i l e d e l l a P r o t e z i o n e de i
D a t i - R P D ( a r t t . 3 7 - 3 9 ) n o t o a n c h e co n l ’ a c r o n i m o i n g l e s e “ D P O ” ( D a t a
Protection Officer); l’istituzione del registro delle attività di trattamento
( a r t . 3 0 e co n s . 1 7 1 ) ; l a n o t i f i c a d e l l e v i o l a z i o n i d e i d a t i p e r s o n a l i ( c . d .
Data Breach).

P o i c h è r i s u l t a i n d i s p e n s a b i l e a d e m p i e r e a l l e n u o v e d i s p o s i z i o n i d e l G D PR
n e i t e r m i n i s t a b i l i t i d a l l a no r m a t i v a , co m e s o p r a r i c h i a m a t i , g a r a n t e n d o
l’uniformità e l’organicità dei processi organizzativi e informativi-
i n f o r m a t i c i d i t u t t e l e Az i e n d e d e l S S R ne l r i s p e t t o d e i p r i n c i p i d i
e f f i c i e n z a , e f f i c a c i a , r az i o n a l i t à e d e co n o m i c i t à n e l l ’ i m p i e g o d e l l e r i s o r se ,
l’Azienda Zero, Ente di governance della sanità regionale veneta, istituito
d a l l a L e g g e R e g i o n a l e n . 1 9 d e l 2 5 /1 0 / 2 0 1 6 , c o n d e c r e t o c o m m i s s a r i a l e
d e l 1 5 7 d e l 2 6 /0 4 / 2 0 1 8 , n e l r e c e p i r e l ’ i n d i c a z i o n e e s p r e s s a d a l C o m i t a t o
d e i D i r e t t o r i G e ne r a l i ( a r t . 3 L .R . n . 1 9 / 2 0 1 6 ) n e l l e se d u t e d e l 5 m a r z o
2018 e 23 aprile 2018, ha approvato e affidato al Consorzio Arsenàl.IT
-Centro Veneto Ricerca e Innovazione per la Sanità Digitale – il Progetto
da questo predisposto, su richiesta di Azienda Zero, ad oggetto “Supporto
p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i
R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e
Sanitarie del Veneto”

                                                deliberazione n. 659 del 22/5/2018 pagina 2 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
REGIONE DEL VENETO
                      AZIENDA OSPEDALIERA DI PADOVA

C o n s u c c e s s i v a n o t a p r o t . 6 0 4 5 de l l ’ 1 / 0 5 / 2 0 1 8 l ’ A z i e n d a Z e r o h a
t r a s m e s s o i l s u c c i t a t o P r o g e t t o u n i t a m e n t e a l l o s c h e m a d i C o n v e nz i o n e
p e r l ’ a d e s i o n e v o l o n t a r i a d a p a r t e d e l l e az i e n d e s a n i t a r i e .

A l l a l u c e d i q u a n t o s o p r a e s p o s t o , s i p r o p o ne d i a p p r o v a r e l o s c h e m a d i
C o n v e n z i o ne co n A r s e n à l . I T ( A l l . A ) p e r l ’ a d e s i o n e a l P r o g e t t o “ S u p p o r t o
p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i
R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e
S a n i t a r i e d e l V e n e t o ” , a l l e g a t o q u a l e p a r t e i n t e g r a n t e e so s t a n z i a l e a l l a
convenzione.

I n o l t r e , c o m e p r e v i s t o d a t a l e P r o g e t t o ( p u n t o 4 .2 l e t t . b ) , s i p r o p o ne d i
i n d i v i d u a r e i l r e fe r e n t e i n t e r n o a l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a ,
p r e p o s t o a g l i a d e m p i m e n t i az i e n d a l i i n m a t e r i a d i p r i v a c y ( d a a t t u a r s i
secondo              quanto            previsto            dalla       r e l a z i o ne    Tecnica         allegata        alla
Deliberazione                    del       Direttore          G e ne r a l e         n.    537         del   2 4 /0 4 / 2 0 1 8 ,
soprarichiamata), con funzioni di raccordo con il Gruppo di lavoro
m u l t i d i s c i p l i n a r e ( c o s t i t u i t o co n d e c r e t o d e l C o m m i s s a r i o d i A z i e n d a Z e r o
n. 157 del 26/04/2018 a supporto delle singole Aziende UU.LL.SS.,
A z i e n d e O s p e d a l i e r e e I O V ) e co n i l B o a r d / R P D ( B o a r d p i ù r i s t r e t t o c o n
compiti di supporto operativo all’RPD, formato da professionalità
multidiciplinari,                  costituito,            anch’esso,             in     e se c u z i o n e del      p r o ge t t o
a p p r o v a t o c o n D e cr e t o c o m m i s s a r i a l e d i A z i e n d a Z e r o n . 1 5 7 , d e l
2 6 /0 4 / 2 0 1 8 ) , p r e v e d e n d o , a l t r e s ì , l a m e s s a a d i s p o s i z i o n e d i a p p o s i t e
d o t a z i o n i l o g i s t i c h e , s t r u m e n t a l i e r i s o r se u m a n e s e m p r e p e r i l s u p p o r t o
locale all’RPD, al Gruppo di lavoro e al Board/RPD.

                                         I L DI R E T T O R E G E N E R A L E

PRESO ATTO della suestesa proposta e accertato che il Direttore della
U O C A f f a r i G e n e r a l i e L e g a l i h a a t t e s t a t o l ’ a v v e n u t a r e go l a r e i s t r u t t o r i a
della pratica, anche in ordine alla conformità con la vigente legislazione
statale e regionale;

R I T E N U T O d i d o v e r a d o t t a r e i n m e r i t o i p r o v v e d i m e n t i n e ce s s a r i ;

VISTO il Decreto Legislativo n. 502/92 e successive modifiche ed
integrazioni e le leggi regionali n. 55 e n. 56 del 1994 e successive
modifiche ed integrazioni;

ACQUISITO il parere favorevole del Direttore Amministrativo                                                             e    del
Direttore Sanitario per quanto di rispettiva competenza;

I N B A S E a i p o t e r i c o n f e r i t i g l i d a l D . P . G . R . n r . 9 2 d e l 0 1 .0 8 . 2 0 1 6 .

                                              deliberazione n. 659 del 22/5/2018 pagina 3 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
REGIONE DEL VENETO
                     AZIENDA OSPEDALIERA DI PADOVA

                                                      DELIBERA

1 . d i a p p r o v a r e , pe r l e r a g i o n i e s p r e s se i n p r e m e s s a , l o s c h e m a d i
C o n v e n z i o ne , a l l e g a t o a l p r e s e n t e p r o v v e d i m e n t o p e r c o s t i t u i r n e p a r t e
integrante e sostanziale, quale strumento regolatorio dei rapporti tra
Azienda Ospedaliera di Padova e Arsenàl.IT – Centro Veneto Ricerca e
Innovazione per la Sanità                       Digitale -          per l’attività di cui al Progetto
“Supporto per l’adeguamento al GDPR e attività per l’espletamento del
ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le
A z i e n d e S a n i t a r i e d e l V e n e t o ” ” , c h e co s t i t u i s c e p a r t e i n t e g r a n t e e
sostanziale della medesima Convenzione;

2. di individuare, quale referente aziendale preposto agli adempimenti
a z i e n d a l i i n m a t e r i a d i p r i v a c y ( s e co n d o q u a n t o p r e v i s t o d a l l a r e l a z i o n e
T e c n i c a a l l e g a t a a l l a p r e c e de n t e d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 ) ,
l ' a v v . M a r i a G r a z i a C a l ì o s u o de l e g a t o , S o s t i t u t o R e s p o n s a b i l e d e l l a U O C
A f f a r i G e ne r a l i e L e g a l i , c o n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o d i
lavoro e con il Board/RPD;

3. di mettere a disposizione dell’ RPD nonchè del Gruppo di lavoro e del
B o ar d / R P D , a l f i n e d i co n s e n t i r e l ’ o t t i m a l e s vo l g i m e n t o d e i c o m p i t i e d e l l e
f u n z i o n i l o r o a s s e g n a t e , l a S a l a R i u n i o n i d e l l a D i r e z i o n e G e ne r a l e ,
g a r a n t e n d o , a l t r e s ì , p e r l e m e de s i m e f i n a l i t à , l a n e ce s s a r i a d o t a z i o ne
s t r u m e n t a l e e i l s u p p o r t o d i r i s o r s e u m a n e co n e s p e r i e n z a e c o no s c e n z a
specifica della materia;

4. di rinviare ad un successivo provvedimento la costituzione di un
G r u p p o d i L a v o r o az i e n d a l e co n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o
d i L a v o r o c o s t i t u i t o a l i v e l l o r e g i o n a l e e co n i l B o a r d / R P D c h e p r e v e d e r à
s p e c i a l i s t i i n a m b i t o l e g a l e co n e s p e r i e n z a e c o n o s ce n z a s p e c i f i c a d e l l a
normativa e delle prassi in materi di privacy, nonché delle norme e delle
procedure amministrative che caratterizzano il settore sanitario; in
ambito informatico con comprovata esperienza in ambito IT e specifica
c o n o s c e nz a d e g l i a p p l i c a t i v i d e l se t t o r e s a n i t a r i o e a m m i n i s t r a t i v o ; i n
a m b i t o d i p r o c e s s i a z i e n d a l i c o n co m p r o v a t a e s p e r i e n z a e a p p r o f o n d i t a
c o n o s c e nz a m a t u r a t a n e l l ’ a m b i t o d e l l a D i r e z i o n e s a n i t a r i a ;

5. di dare atto che la durata della Convenzione, di cui al punto 1),
d e c o r r e r à d a l l a d a t a d e l l a s u a s o t t o s c r i z i o n e e f i n o a l 3 1 /1 2 / 2 0 1 9 ;

6. Di prendere atto che, per quanto concerne gli aspetti relativi al
c o r r i s p e t t i v o pe r l e a t t i v i t à s vo l t e d a A r se n à l . I T , g l i o n e r i d e r i v a n t i
dall’esecuzione                delle       attività        previste      dal        Progetto          (Punto         8
“ D i m e n s i o n a m e n t o e co n o m i c o A r s e n à l . I T ” ) “ t r o ve r a n n o c o pe r t u r a n e l

                                            deliberazione n. 659 del 22/5/2018 pagina 4 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
REGIONE DEL VENETO
                    AZIENDA OSPEDALIERA DI PADOVA

bilancio di Azienda Zero”, come disposto al punto                                             4   del   Decreto
c o m m i s s a r i a l e de l l a me d e s i m a n . 1 5 7 d e l 2 6 a p r i l e 2 0 1 8 .

                                          Il Direttore Generale
                                         F.to Dott. Luciano Flor

                                          deliberazione n. 659 del 22/5/2018 pagina 5 di 22
Adesione al Progetto “Supporto per l’adeguamento al GDPR e attività per l’espletamento
    del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende
                   Sanitarie del Veneto” – Azienda Ospedaliera di Padova

                                                      CONVENZIONE

                                                              tra

Azienda Ospedaliera di Padova Codice Fiscale e Partita IVA 00349040287, con sede in via Giustiniani, 1,
rappresentata nel presente atto dal Dott. Luciano Flor, nato a Revò (TN), il 24/02/21958, il quale interviene nel presente
atto non in proprio, ma in qualità di Direttore Generale dell’Azienda Ospedaliera di Padova;

                                                               e

ARSENÀL.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale (di seguito, per brevità, Arsenàl.IT),
Codice Fiscale e Partita IVA 04013550266, con sede legale in Treviso, Viale Guglielmo Oberdan n.5, rappresentata nel
presente atto dal dott. Mauro Rizzato, nato a Treviso, il 17 gennaio 1978, il quale interviene nel presente atto non in
proprio, ma in qualità di Direttore Amministrativo di Arsenàl.IT;

                                                        Premesso che:

    a)   il “Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla
         protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di
         tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per
         brevità, anche GDPR – prevede un’intensa attività di organizzazione a carico delle amministrazioni pubbliche e
         nuovi adempimenti, tra cui la designazione del Responsabile della Protezione dei Dati – di seguito, per brevità,
         RPD – ex articolo 37 GDPR;

    b)   con riguardo alla designazione del RPD, l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del
         trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico
         responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici,
         tenuto conto della loro struttura organizzativa e dimensione”;

    c)   in tale contesto, il Comitato dei Direttori Generali, di cui all’art. 3 l.r. n. 19/2016, nella seduta del 05.03.2018, ha
         espresso l’opzione per la nomina di un unico RPD per tutte le Aziende Sanitarie venete, indicando il Consorzio
         Arsenàl.IT per lo svolgimento delle attività connesse all’individuazione, alla nomina e all’operatività di tale figura;

    d)   con Decreto del Commissario n.157 del 26 aprile 2018 Azienda Zero ha approvato e affidato al Consorzio il
         progetto con oggetto “supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile
         della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto”, predisposto da Arsenàl.IT su
         richiesta di Azienda Zero e di seguito individuato, per brevità, anche come Progetto;

    e)   il succitato Decreto n. 157/2018 è stato inviato a questa Azienda Sanitaria con nota di Azienda Zero prot. n.
         5455 del 27 aprile 2018;

    f)   l’adesione al succitato Progetto avviene su base volontaria;

    g)   con nota prot. n. 6045 del 11/05/2018, Azienda Zero, ha trasmesso alle Aziende Sanitarie il Progetto e il
         presente schema di convenzione per l’adesione volontaria al medesimo;

    h)   che nel documento “Progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per
         l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del
         Veneto” sono stati previsti, alla sezione “Ruoli nel progetto”, specifici ruoli e attività in capo alle Aziende
         Sanitarie aderenti e ad Arsenàl.IT;

                                              deliberazione n. 659 del 22/5/2018 pagina 6 di 22
i)   che l’Azienda Ospedaliera di Padova, con Deliberazione n. …….. del ……… del Direttore Generale, ha preso
          atto del Progetto e vi ha aderito, impegnandosi a svolgere le attività previste nella sezione “Ruoli nel progetto” e
          approvando il presente schema di convenzione;

     j)   che con medesima Deliberazione, come previsto nel Progetto, è stato individuato il referente aziendale nella
          persona dell’avv. Maria Grazia Calì o Suo delegato, Sostituto Responsabile della UOC Affari Generali e legali;

     Tutto ciò premesso, tra le Parti si conviene quanto segue:

1)        PREMESSE

     Le premesse costituiscono parte integrante della presente Convenzione.

2)        OGGETTO

     La presente Convenzione regola i rapporti tra le Parti per l’attività di cui al “Progetto tecnico e proposta economica
     per supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati
     (RPD) unico per tutte le Aziende Sanitarie del Veneto” – di seguito, per brevità, “Progetto”, articolato nelle seguenti
     3 fasi, meglio dettagliate nel medesimo:

     •    FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al GDPR da parte delle
          Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina RPD unico;

     •    FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a seguito dei
          futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità Garante – delle risultanze della
          prima applicazione del modello proposto su base regionale e dell’adeguatezza delle modalità di erogazione del
          servizio;

     •    FASE III (01.01.2019 – 31.12.2019, in linea con le progettualità consortili attive): attività del RPD unico, con
          eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio,
          avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali
          adottati.

     Il Progetto, allegato alla presente, costituisce ed è espressamente riconosciuto come parte integrante e sostanziale
     della presente Convenzione e pienamente vincolante tra le Parti. Le Parti danno atto che tale documento potrà
     essere suscettibile di aggiornamento e modifica, previo accordo scritto tra le Parti medesime.

3)        ADEMPIMENTI DELL’AZIENDA SANITARIA

     In base alla propria adesione, al fine di garantire l’operatività del Progetto, l’Azienda Ospedaliera di Padova, titolare
     ex lege del trattamento dei dati, si impegna a svolgere le seguenti attività:

     •    Nominare quale proprio RPD il soggetto individuato da Arsenàl.IT;

     •    individuare e comunicare ad Arsenàl.IT il nominativo del proprio referente interno, ovvero del soggetto preposto
          agli adempimenti aziendali in materia di privacy (come da Deliberazione del Direttore Generale n. ….. del
          ……….), con funzioni di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018);

     •    mettere a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD.

     La nomina del RPD sarà effettuata seguendo le indicazioni fornite in materia da parte dell’Autorità Garante.

     Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo.

4)        ADEMPIMENTI DI ARSENÀL.IT

                                              deliberazione n. 659 del 22/5/2018 pagina 7 di 22
Arsenàl.IT si impegna, subordinatamente alla messa a disposizione delle professionalità da parte delle Aziende
     Sanitarie per il Board RPD, come previsto dal Progetto – tra l’altro – allo svolgimento delle seguenti principali
     attività:

       Fase I

         •      Project management Gruppo di Lavoro;
         •      Individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle Aziende
                Sanitarie.

       Fase II

         •      Attività necessarie a garantire l’operatività del RPD unico per le Aziende Sanitarie;
         •      coordinamento operativo e organizzativo del Board RPD.

      Fase III

         •      Prosecuzione delle attività previste nella Fase II, con eventuali adattamenti del modello organizzativo
                proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività
                condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione.

     Arsenàl.IT, inoltre, si impegna a realizzare gli output così come indicati alla Sezione rubricata “Piano degli output di
     Arsenàl.IT” del Progetto.

     Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo.

     Le parti si danno reciprocamente atto che Arsenàl.it e il Responsabile della Protezione dei Dati, nello svolgimento
     delle attività di cui alla presente convenzione, non si sostituiscono alle Aziende Sanitarie (Titolari del Trattamento)
     negli adempimenti posti normativamente a carico delle stesse né, pertanto, al ruolo istituzionale degli Uffici aziendali
     rispettivamente competenti in materia di privacy.

5)       DURATA

     Le Parti convengono che la durata della presente Convenzione decorra dalla data della sua sottoscrizione e fino al
     31.12.2019.

     Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate per iscritto tra le Parti.

                                               deliberazione n. 659 del 22/5/2018 pagina 8 di 22
6)       CORRISPETTIVO

     Per quanto concerne gli aspetti relativi al corrispettivo per le attività svolte da Arsenàl.IT, si precisa che gli oneri
     derivanti dall’esecuzione delle stesse “troveranno copertura nel bilancio di Azienda Zero”, come disposto al punto 4
     del Decreto commissariale della medesima n. 157 del 26 aprile 2018.

7)       RISERVATEZZA

     La presente Convenzione impegna le Parti e il personale coinvolto nel Progetto a non divulgare o comunque a non
     utilizzare dati o fatti inerenti all’altra Parte, senza preventivo esplicito consenso, salvo diversi accordi.

     Le Parti e il personale coinvolto nel Progetto si impegnano a non divulgare la documentazione reciprocamente
     fornita alla scadenza della presente Convenzione e, in ogni caso, a conservarla come depositari per almeno i cinque
     anni successivi al termine finale, fatto salvo quanto diversamente concordato tra le Parti.

     Per “informazione confidenziale” si intende ogni oggetto, descrizione, disegno, layout di circuito, nastri, dischi ed
     ogni altro supporto leggibile da computer, documenti scritti, informazioni, incluse informazioni visive e verbali,
     tecnologie e know-how, che:

         •    siano attinenti ad attività passate, presenti o future svolte dal Consorzio e dalle Aziende consorziate nei
              diversi campi in cui esse operano;

         •    sia attinente in generale all’organizzazione, all’attività del personale, agli investimenti, ai dati tecnici, ai
              rapporti contrattuali, ai diritti, alle obbligazioni e alle responsabilità del Consorzio e delle Aziende
              consorziate;

         •    risultino dall’attività oggetto della presente Convenzione.

     Le Parti e il personale coinvolto nel Progetto – salvo quanto diversamente disposto dalla presente Convenzione –
     convengono che qualsiasi informazione confidenziale ricevuta:

         •    sarà protetta e considerata confidenziale, con lo stesso grado di precauzione e tutela utilizzato per le
              informazioni di proprietà della Parte ricevente e comunque non inferiore alla diligenza del buon padre di
              famiglia;

         •    non dovrà essere rivelata, direttamente o indirettamente, a terzi;

         •    sarà utilizzata solo da dipendenti e/o collaboratori che abbiano necessità di conoscerla e, comunque, solo
              per gli scopi specificati nella presente Convenzione; i dipendenti e/o collaboratori sono tenuti a non
              divulgare le informazioni confidenziali di cui siano a conoscenza e ciascuna parte resta responsabile per
              l’esatta osservanza da parte dei propri dipendenti e/o collaboratori degli obblighi di segretezza anzidetti;

         •    non dovrà essere copiata, riprodotta o duplicata, né impiegata, anche parzialmente, per scopi diversi da
              quelli stabiliti dalla presente Convenzione, senza preventivo consenso scritto dell’altra Parte.

     Qualunque informazione confidenziale o relativa copia, prodotta da ciascuna Parte, rimarrà di proprietà della stessa,
     salvo quanto diversamente disposto dalla presente Convenzione.

     L'impegno di segretezza:

         •    non sorge o cessa di esistere riguardo alle informazioni confidenziali che siano divenute di pubblico
              dominio per fatto non imputabile alla Parte tenuta alla segretezza;

         •    non sorge riguardo alle informazioni confidenziali che si possa documentalmente dimostrare che erano già
              note alla Parte che le riceve;

                                              deliberazione n. 659 del 22/5/2018 pagina 9 di 22
•    non sorge o cessa di esistere riguardo a quelle informazioni confidenziali che siano state comunicate alla
               Parte tenuta alla segretezza anche da una terza parte avente il diritto di farlo senza obbligo di segretezza;

               non sorge quando il destinatario delle informazioni sia obbligato a comunicare o divulgare le notizie,
               informazioni, documentazioni confidenziali in ottemperanza di una richiesta di qualsiasi Autorità o in forza di
               un obbligo di legge. In tal caso il destinatario darà tempestiva notizia scritta di tale comunicazione o
               divulgazione alla controparte.

8)        RISULTATI

      Le Parti concordano e si danno reciprocamente atto che saranno egualmente proprietarie dei risultati scaturiti dalle
      attività comuni di cui alla presente Convenzione, fatti comunque salvi i diritti morali dovuti agli autori.

      I risultati comuni scaturiti dall'attività progettuale saranno utilizzati, divulgati, pubblicati e sfruttati dalle Parti avuto
      merito della natura del Progetto, nel pieno rispetto delle finalità istituzionali delle Parti medesime, dei loro
      Regolamenti interni e della normativa vigente in materia, fatti comunque salvi diversi accordi da formalizzarsi per
      iscritto.

      Ciascuna Parte rimane proprietaria delle conoscenze e dei risultati raggiunti autonomamente nell’ambito della
      presente Convenzione, ove individuabili.

      Tutte le informazioni, le conoscenze e i diritti di proprietà intellettuale posseduti da una Parte prima della
      conclusione della presente Convenzione, sviluppati o acquisiti parallelamente o contemporaneamente alla stessa,
      ma con modalità indipendenti dalla sua esecuzione, resteranno di proprietà esclusiva di detta Parte, che rimarrà
      libera di utilizzarli o rivelarli a sua sola discrezione.

9)        ASSICURAZIONI E SICUREZZA

      Ai sensi dell'art. 10 D.M. n. 363/1998, gli obblighi previsti d.lgs. n. 81/2008 in materia di sicurezza sul lavoro gravano
      sulla Parte ospitante, per quanto riguarda il personale che si trovi presso di essa nell’espletamento di attività
      connesse all’attuazione della presente Convenzione. Anche il personale ospitato è tenuto a osservare le norme in
      materia di prevenzione e protezione dettate dall’ente ospitante, che provvederà previamente a garantirne la
      conoscenza.

      Arsenàl.IT garantisce che il proprio personale impegnato nelle attività di cui all’art. 1 presso le strutture dell’Azienda
      Zero è assicurato per responsabilità civile e contro gli infortuni.

      L’Azienda Zero, analogamente, garantisce che il personale coinvolto nelle attività oggetto della presente
      Convenzione presso le strutture del Consorzio è assicurato per responsabilità civile e contro gli infortuni.

      Inoltre, il personale coinvolto nel Progetto è tenuto a uniformarsi ai regolamenti disciplinari e di sicurezza in vigore
      nelle sedi di esecuzione delle attività attinenti alla presente Convenzione, nel rispetto della normativa per la
      sicurezza dei lavoratori di cui al d.lgs. n. 81/2008 e ss.mm.ii., osservando, in particolare, gli obblighi di cui all’art. 20
      del decreto citato, nonché le disposizioni del responsabile del servizio di prevenzione e protezione.

      Gli obblighi previsti dall’art. 26 d.lgs. n. 81/2008 e ss.mm.ii. e la disponibilità di dispositivi di protezione individuale
      (DPI), in relazione ai rischi specifici presenti nella struttura ospitante, sono attribuiti al soggetto di vertice della
      struttura ospitante. Tutti gli altri obblighi ricadono sul responsabile dell’ente di provenienza.

10)       PRIVACY

      Le Parti e il personale coinvolto nel Progetto si impegnano a osservare quanto disposto dalle vigenti norme in
      materia di data protection in relazione ai dati personali eventualmente acquisiti e/o utilizzati per lo svolgimento delle
      attività di cui alla presente Convenzione.

                                                deliberazione n. 659 del 22/5/2018 pagina 10 di 22
Ai sensi e per gli effetti delle norme vigenti in materia di data protection, le Parti e il personale coinvolto nel Progetto
      prestano il consenso al trattamento dei propri dati personali per l’esecuzione di tutte le operazioni e attività
      connesse alla presente Convenzione.

      Il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della
      riservatezza e dei diritti.

11)       CONTROVERSIE

      Le Parti concordano di definire amichevolmente qualsiasi controversia dovesse sorgere dalla interpretazione o
      applicazione della presente Convenzione.

      Qualora non fosse possibile risolvere bonariamente le controversie, il Foro competente a dirimere le stesse è, in via
      esclusiva, quello di Padova.

12)       RINVIO A NORME DI LEGGE

      Per quanto non previsto dalla presente Convenzione, si rinvia alle vigenti norme nazionali e regionali in materia.

13)       STIPULA E DISPOSIZIONI FINALI

      La presente Convenzione è sottoscritta con firma digitale ai sensi dell’articolo 24 del d.lgs. n. 82/2005 (Codice
      dell’amministrazione digitale) e ss.mm.ii. Eventuali proroghe o modifiche alla presente Convenzione dovranno
      essere sottoscritte dalle Parti con le medesime modalità.

      Il presente atto è letto, approvato specificamente articolo per articolo, premesse incluse, e sottoscritto.

       Per l’Azienda Ospedaliera di Padova                                                     Per il Consorzio Arsenàl.IT

      IL DIRETTORE GENERALE                                                                IL DIRETTORE AMMINISTRATIVO

         Dott. Luciano Flor

       Le parti dichiarano di approvare specificamente la clausola di cui all’art. 11) Controversie.

       Per l’Azienda Ospedaliera di Padova                                                     Per il Consorzio Arsenàl.IT

           IL DIRETTORE GENERALE                                                           IL DIRETTORE AMMINISTRATIVO

             Dott. Luciano Flor

                                                deliberazione n. 659 del 22/5/2018 pagina 11 di 22
Arsenàl.IT
                       Centro Veneto Ricerca e Innovazione per la Sanità Digitale

Allegato: Rif. Nota Azienda Zero prot. N 3822 del 27.03.2018
Oggetto: progetto tecnico e proposta economica per supporto adeguamento al
GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati
(RPD) unico per tutte le Aziende Sanitarie del Veneto

1.      PREMESSE E CONTESTO DI RIFERIMENTO
Il 25.05.2018 scadrà il termine per i Titolari del trattamento per adeguarsi al “Regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga
la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per brevità, GDPR –
con cui sono previsti nuovi adempimenti, oltre a una intensa attività di organizzazione a carico delle
amministrazioni pubbliche.
Il Garante per la protezione dei dati personali suggerisce a quest’ultime, attraverso una scheda
informativa1, di avviare, con assoluta priorità: la designazione del Responsabile della protezione dei dati
– RPD (artt. 37-39), noto anche con l’acronimo inglese “DPO” (Data Protection Officer); l’istituzione del
Registro delle attività di trattamento (art. 30 e cons. 171); la notifica delle violazioni dei dati personali
(c.d. Data Breach, artt. 33 e 34).
Con specifico riguardo alla designazione del Responsabile della Protezione dei Dati – di seguito, per
brevità, RPD – l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del trattamento o il
responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile
della protezione dei dati (RPD nda) può essere designato per più autorità pubbliche o organismi
pubblici, tenuto conto della loro struttura organizzativa e dimensione”.
Risulta indispensabile, pertanto, adempiere alle nuove disposizioni del GDPR – nei termini stabiliti dalla
normativa, come sopra richiamati – garantendo, da un lato, l’uniformità e l’organicità dei processi
organizzativi e informativo-informatici di tutte le Aziende del SSR e, dall’altro, lo sviluppo di modelli
organizzativi in grado di creare sinergie tra i diversi soggetti coinvolti, evitando la frammentarietà delle
informazioni e valorizzando la trasversalità dei processi, nel rispetto dei principi di efficienza, efficacia,
razionalità ed economicità nell’impiego delle risorse.
La necessità di uniformazione e di convergenza verso modelli organizzativi comuni trova fondamento,
in primis, nella riforma del Sistema Sanitario Regionale del Veneto, di cui alla Legge Regionale n. 19 del
25.10.2016, recante "Istituzione dell'ente di governance della sanità regionale veneta denominato
"Azienda per il governo della sanità della Regione del Veneto - Azienda Zero". Disposizioni per la
individuazione dei nuovi ambiti territoriali delle Aziende ULSS". Tale intervento normativo, oltre alla
ridefinizione dell’assetto organizzativo delle Aziende ULSS, istituisce l’Azienda Zero, con finalità di
razionalizzazione, integrazione ed efficientamento dei servizi sanitari, socio-sanitari e tecnico-
amministrativi del servizio sanitario regionale.
La DGR n. 1785 del 07.11.2016, peraltro, definisce le linee di intervento finalizzate al potenziamento e
alla razionalizzazione del Sistema informativo socio-sanitario, attraverso una diffusione sistemica del
modello organizzativo attuato con il Progetto FSEr e conferma il Consorzio Arsenàl.IT quale soggetto
individuato per il coordinamento gestionale, la direzione lavori e l’assistenza agli avviamenti della Fase II
del Progetto FSEr medesimo, con verifica e validazione degli standard impiegati. Tra le attività affidate
al Consorzio rientra, tra l’altro, il presidio degli aspetti di privacy e sicurezza nel trattamento dei dati
personali, in continuo raccordo con i referenti individuati dalle Aziende Sanitarie.

1
    http://www.garanteprivacy.it/regolamentoue/formazione/#prioritaPA

                                                                                                                              1
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 12 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                       Centro Veneto Ricerca e Innovazione per la Sanità Digitale

Nella medesima ottica, ad Arsenàl.IT – giusta Decreto commissariale di Azienda Zero n. 369 del
15.12.2017 – è stata affidata la realizzazione del “Fascicolo Amministrativo Contabile Elettronico
regionale – FACEr”, le cui attività si sviluppano contiguamente all’evoluzione del Progetto FSEr.

In tale contesto, a garanzia del puntuale e uniforme adeguamento al GDPR da parte delle Aziende
Sanitarie, nonché a garanzia dello sviluppo delle attività progettuali di interesse regionale secondo i
principi della privacy by design2, è emersa l’opportunità di individuare un unico RPD per tutte le
Aziende SSR, fornendo alle stesse un supporto unitario e trasversale.

In tal senso, come comunicato con nota di Azienda Zero protocollo n. 3822 del 27.3.2018, il Comitato
dei Direttori Generali ex l.r. n. 19/2016 ha espresso l’opzione per la nomina di un RPD per tutte le Aziende
Sanitarie venete, indicando, a tal fine, il Consorzio Arsenàl.IT per lo svolgimento delle attività necessarie
all’individuazione, alla nomina e all’operatività di tale figura.

2.    IL PROGETTO E L’ORGANIZZAZIONE
Alla luce delle premesse, a seguito della seduta del 05.03.2018 del Comitato dei Direttori Generali, con
nota protocollo n. 3822 del 27.03.2018, Azienda Zero ha richiesto ad Arsenàl.IT di formulare una proposta
tecnico-economica per il supporto all’adeguamento al GDPR e per lo svolgimento delle attività
necessarie all’individuazione, alla nomina e all’operatività di un RDP unico per tutte le Aziende Sanitarie
della Regione del Veneto.

Di seguito si riporta la proposta tecnico-economica richiesta, comprensiva della descrizione dei modelli
organizzativi applicabili.

Il progetto si articolerà in tre fasi:

     •        FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al
              GDPR da parte delle Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina
              RPD unico;

     •        FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a
              seguito dei futuri provvedimenti del Legislatore nazionale e indicazioni dell’Autorità Garante –
              delle risultanze della prima applicazione del modello proposto su base regionale e
              dell’adeguatezza delle modalità di erogazione del servizio;

     •        FASE III (01.01.2019 – 31.12.2019, in linea con progettualità consortili attive): attività del RPD
              unico, con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle
              modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso
              della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione.

  2.1 FASE I (01.04.2018 - 24.05.2018)

  La Fase I prevede che:

         a.    Arsenal.IT si impegni a organizzare il modello RPD di cui al presente documento;

         b.    Arsenal.IT coordini il supporto alle Aziende Sanitarie nelle attività preliminari all’ adeguamento
               al GDPR attraverso un Gruppo di Lavoro multidisciplinare, con professionalità messe a
               disposizione dalle Aziende Sanitarie.

               Composizione del Gruppo di Lavoro:

                •   Arsenàl.IT (Project Manager);
                •   esperti area privacy – Azienda Sanitaria;

2 I principi della privacy by design prevedono che gli aspetti di riservatezza e sicurezza nel trattamento dei dati siano valutati, sin

dalla fase di progettazione di una soluzione aziendale, unitamente alle relative applicazioni informatiche di supporto.
                                                                                                                                     2
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 13 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

            •     esperti area legale – Azienda Sanitaria;
            •     esperti area ICT – Azienda Sanitaria.

            Funzioni del Gruppo di Lavoro:

            - individuazione di linee guida e condivisione con le Aziende Sanitarie di modelli standard
              per l’adeguamento alle disposizioni del GDPR (linee guida/regolamenti su ruolo e compiti
              RPD, linee guida in materia di Data Breach, modello registro trattamenti, etc.).

       c.   a chiusura della fase I, le Aziende Sanitarie potranno nominare, su base volontaria, un RPD
            unico – esterno – individuato a cura di Arsenàl.IT..

  2.2.FASE II (25.05.2018 - 31.12.2018)

  La Fase II prevede che il RPD unico venga nominato da ciascuna Azienda Sanitaria e con il supporto
  di un Board multidisciplinare, svolga a favore di tutte le Aziende Sanitarie – inclusa Azienda Zero – i
  compiti declinati dall’articolo 39 del GDPR, sulla base del seguente modello organizzativo:

  A garanzia di una più estesa condivisione dei contenuti e dei modelli di riferimento potrà continuare
  l’attività del Gruppo di Lavoro.

  In considerazione dei futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità
  Garante, nel corso del primo periodo di attività del RPD unico sarà condotta una valutazione delle
  risultanze della prima applicazione del modello proposto su base regionale e dell’adeguatezza delle
  modalità di erogazione del servizio.

  Risulta necessario, infatti, valutare se la struttura organizzativa e le attività di RPD proposte nella Fase II
  (sino al 31.12.2018) – e il nuovo assetto che ne deriva, anche all’interno delle Aziende SSR – si adattino
  alle nuove disposizioni dell’ordinamento interno, non ancora promulgate e che potrebbero avere
  ricadute organizzativo-economiche attualmente non prevedibili e preventivabili.

  Funzioni RPD unico (ex art. 39 GDPR)

  a)    Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento,
        nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR,
        nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
  b)    sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla
        protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del
        trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle

                                                                                                                              3
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 14 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

        responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e
        alle connesse attività di controllo;
  c)    fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e
        sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR;
  d)    cooperare con l'autorità di controllo;
  e)    fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra
        cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed effettuare, se del caso,
        consultazioni relativamente a qualunque altra questione.

     Arsenàl.IT si occuperà delle attività necessarie all’individuazione, alla nomina e all’operatività del
     RPD unico per le Aziende Sanitarie (inclusa Azienda Zero), con i compiti di cui all’articolo 39 del
     GDPR. A tal fine, il Consorzio si rivolgerà a professionalità esterne, in modo tale da garantire la
     terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni di potenziale
     conflitto di interessi.

     Board RPD

     Il Board RPD3 avrà compiti di supporto operativo al RPD unico nelle funzioni a questo attribuite.

     Per lo svolgimento dell'incarico, Arsenàl.IT abbisogna dell’apporto di specifici profili professionali non
     presenti nel proprio organico, come di seguito riportati:

            - n. 1 profilo specialista in ambito legale, con comprovata esperienza e specifica
              conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e
              delle procedure amministrative che caratterizzano il settore sanitario;
            - n. 1 profilo specialista in ambito informatico, con comprovata esperienza in ambito IT e
              specifica conoscenza degli applicativi del settore sanitario e amministrativo;
            - n. 1 profilo specialista nell’ambito di processi aziendali, con comprovata esperienza e
              approfondita conoscenza maturata nell’ambito della direzione sanitaria.

     A tal fine, si prevede la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli
     d'intesa ex articolo 23bis d.lgs. n. 165/2001 tra Arsenàl.IT e le proprie consorziate, per l'assegnazione
     temporanea a tempo pieno presso il Consorzio di 3 profili professionali, come sopra individuati.

     Il Board RPD – in base alle specifiche esigenze operative – potrà coinvolgere altre professionalità
     specialistiche provenienti dagli enti SSR, nelle modalità qui definite, nonché altri soggetti esperti,
     anche esterni.

Il modello organizzativo qui proposto permette, altresì, di promuovere l’acculturamento e la
specializzazione in seno o per il tramite al board medesimo. Attraverso un idoneo programma di
affiancamento e avvicendamento potranno essere create figure professionali idonee allo svolgimento
o al supporto della attività privacy dall’interno delle Aziende Sanitarie.

  2.3. FASE III (01.01.2019 - 31.12.2019)

  La Fase III prevede la prosecuzione/evoluzione delle stesse attività della Fase II per quanto riguarda il
  servizio di RPD Unico e il coordinamento del Board RPD.

  Le modalità di erogazione dell’attività per l’anno 2019 (Fase III) potranno subire variazioni e/o
  adattamenti da un punto di vista organizzativo e finanziario, avuto merito delle risultanze della
  valutazione condotta nel corso della Fase II.

3.     RUOLI NEL PROGETTO

3 Il Board RPD è il team multidisciplinare, composto da figure di esperti in ambiti specifici (legale, protezione dei dati, ICT,

organizzativo), così come indicato dalle linee guida del Working Group Articolo 29 (organismo consultivo e indipendente, composto
da un rappresentante delle Autorità di protezione dei dati personali designate da ciascuno Stato membro).
                                                                                                                               4
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 15 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

     4.1 Ad Azienda Zero compete:
        a) emanazione Decreto commissariale per:
            - approvazione proposta tecnico-economica di Arsenàl.IT per le attività fino al 31.12.2019 e
              affidamento servizio;
            - promuovere la costituzione del Board RPD, attraverso l’istituto dell’assegnazione
              temporanea sopra richiamata;
            - avvio procedure per acquisizione strumento IT unico per registro attività di trattamento.

        b) acquisizione strumento IT unico per il registro delle attività di trattamento (da rendere
           operativo entro il 24.05.2018).

     4.2 Alle Aziende SSR (inclusa Azienda Zero) compete, su base volontaria:
        a) la nomina del RPD unico individuato da Arsenàl.IT, secondo uno schema tipo di convenzione;

        b) l’individuazione e comunicazione ad Arsenàl.IT del nominativo del proprio referente interno,
           ovvero del soggetto preposto agli adempimenti aziendali in materia di privacy, con funzioni
           di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018 – cfr. par. 2.2) e messa
           a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD;

        c) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli d’intesa ex articolo
           23bis d.lgs. n. 165/2001 con il Consorzio, per l'assegnazione temporanea presso Arsenàl.IT, a
           tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla
           sezione 2.2 del presente documento. L'onere per la corresponsione del trattamento
           economico al personale temporaneamente assegnato sarà a carico dell’Azienda SSR di
           appartenenza.

     4.3 Attività Arsenàl.IT:
        Fase I
        a) Project management Gruppo di Lavoro:
           - coordinamento, organizzazione e conduzione delle attività del Gruppo di Lavoro;
           - pianificazione e supporto per attività di analisi sullo stato dell'arte dell'adeguamento al
              GDPR da parte delle Aziende SSR e delle eventuali azioni di miglioramento/rafforzamento;
           - attività di raccordo tra e con i referenti delle Aziende Sanitarie;
           - coordinamento dei contenuti delle linee guida e modelli sviluppati dal Gruppo di Lavoro
              con le Aziende Sanitarie;
        b) la predisposizione di uno schema tipo di convenzione per l’adesione al progetto da parte
           delle Aziende Sanitarie e per la nomina del RPD unico individuato da Arsenàl.IT;
        c) l’individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle
           Aziende Sanitarie;
        d) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli di intesa ex articolo
           23bis d.lgs. n. 165/2001 con le Aziende SSR, per l'assegnazione temporanea presso Arsenàl.IT, a
           tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla
           sezione 2.2 del presente documento. Il Consorzio, ai sensi del richiamato articolo 23bis d.lgs. n.
           165/2001, potrà riconoscere al personale temporaneamente assegnato un compenso
           aggiuntivo in ragione delle attività svolte, facendosi carico del relativo onere economico.

        Fase II
        a) Arsenàl.IT svolgerà le attività necessarie a garantire l’operatività del RPD unico per le Aziende
           Sanitarie (inclusa Azienda Zero) aderenti. Il RPD unico individuato svolgerà i compiti di cui
           all’articolo 39 del GDPR, come di seguito richiamati:

                                                                                                                              5
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 16 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

            - informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento,
               nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal
               GDPR, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione
               dei dati;
            - sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri
               relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del
               responsabile del trattamento in materia di protezione dei dati personali, compresi
               l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che
               partecipa ai trattamenti e alle connesse attività di controllo;
            - fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e
               sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR;
            - cooperare con l'autorità di controllo;
            - fungere da punto di contatto per l'autorità di controllo per questioni connesse al
               trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed
               effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
            Per il ruolo di RPD unico il Consorzio si rivolgerà a professionalità esterne, in modo tale da
            garantire la terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni
            di potenziale conflitto di interessi;

        b) coordinamento operativo e organizzativo del Board RPD.

        Fase III
        Arsenàl.IT continuerà a svolgere le attività necessarie a garantire l’operatività del RPD unico per
        le Aziende Sanitarie (inclusa Azienda Zero), con eventuali adattamenti del modello organizzativo
        proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze
        dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in
        corso di emanazione.

                                                                                                                              6
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 17 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

5    GANTT
Si propone di seguito il GANTT generale del progetto.

                                                    FASE I                         FASE II                     FASE III
                                               (dall’incarico -                 (25.05.2018 -               (01.01.2019 -
              ATTIVITÀ                           24.05.2018)                     31.12.2018)                 31.12.2019)
                                        Milestone 1       Milestone 2            Milestone 3                 Milestone 4
                                        30.04.2018        24.05.2018             31.12.2018                  31.12.2019

 a) Elaborazione convenzione
 tipo per adesione al progetto e       CONVENZIONE
 nomina RPD

 b) Ricognizione dello stato
                                            AS IS
 dell'adeguamento al GDPR

 c) Individuazione di linee guida
 e modelli comuni per Aziende               LINEE GUIDA E MODELLI
 aderenti al RPD unico

 d) Acquisizione e operatività
 dello strumento IT (registro             ACQUSIZIONE E OPERATIVITÀ
 trattamenti unico) da parte di                STRUMENTO IT
 Azienda Zero

 e) Nomina RPD unico da parte                             NOMINA RPD
 dei titolari                                               UNICO

 f) Attività RPD e coordinamento
                                                                            ATTIVITÀ RPD E BOARD
 Board RPD anno 2018

 h) Attività RPD e coordinamento
                                                                                                         ATTIVITÀ RPD E BOARD
 Board RPD anno 2019

                                                                                                                                7
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 18 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT
                      Centro Veneto Ricerca e Innovazione per la Sanità Digitale

6    PIANO DEGLI OUTPUT DI ARSENÀL.IT
Di seguito sono riportati gli output di Arsenàl.IT, con indicazione della relativa scadenza.

                                           OUTPUT                                                          TERMINI
 Schema tipo convenzione per adesione al progetto e per la nomina del
                                                                                                         30.04.2018
 RPD unico

 Reportistica sullo stato di adeguamento al GDPR da parte Az. SSR (as is)                                30.04.2018

 Linee guida e modelli comuni per Aziende Sanitarie (prima release)                                      24.05.2018

 Attività per operatività RPD unico e coordinamento board RPD (con
                                                                                                         31.12.2018
 produzione di reportistica, di norma trimestrale) – anno 2018

 Attività per operatività RPD unico e coordinamento board RPD (con
                                                                                                         31.12.2019
 produzione di reportistica, di norma trimestrale) – anno 2019

7    DURATA ATTIVITÀ ARSENÀL.IT
L'affidamento dei servizi ad Arsenàl.IT per lo svolgimento delle attività progettuali previste nella Fase I e II
avrà durata fino al 31.12.2018.

La Fase III avrà durata dall’01.01.2019 al 31.12.2019.

Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate tra le Parti con
accordo scritto.

8    DIMENSIONAMENTO ECONOMICO ARSENÀL.IT
Le attività previste per il periodo fino al 31.12.2019 prevedono, a beneficio del consorzio Arsenal.IT, un
corrispettivo pari ad Euro 496.500,00 (quattrocentonovantasemilacinquecento/00), al netto di IVA di
legge, secondo lo schema che segue.

                                            2018                             2019
                                          Fasi I e II                      Fase III                                   TOTALE

 FTE                                      72.000 €                        89.000 €                                 161.000 €

 SERVIZI ESTERNI                         167.000 €                        168.500 €                                335.000 €

 TOTALE                                  239.000 €                        257.500 €                                496.500 €

Nei budget per servizi esterni sono ricompresi: l’eventuale compenso aggiuntivo per le figure
professionali delle Aziende Sanitarie in assegnazione temporanea presso Arsenàl.IT ex art. 23bis d.lgs. n.
165/2001, l’affidamento dell’incarico di RPD esterno, nonché l’acquisizione di ulteriori servizi specialistici
in base alle necessità progettuali.
Per lo svolgimento delle attività previste, Arsenàl.IT si avvarrà di un Project Manager SR e di profili
specialistici in materia (specialist SR, IT specialist, functional analyst) secondo quanto sotto riportato.

Il costo dimensionato è pari a: Euro 700,00/giornata per Project Manager SR e specialist SR; Euro
400,00/giornata per IT specialist e functional analyst. Nella tabella seguente si riporta la stima delle
giornate uomo che saranno erogate complessivamente da Arsenàl.IT, suddivise per attività.

                                                                                                                              8
Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale
V.le G. Oberdan n. 5, 31100 – Treviso          deliberazione n. 659 del 22/5/2018 pagina 19 di 22
Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it                Arsenàl.IT – Tutti di diritti riservati
Puoi anche leggere