REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA Delibera del Direttore Generale n. 659 del 22/05/2018 OGGETTO: Approvazione schema di convenzione con Arsenàl.IT-Centro V e n e t o R i ce r c a e I n n o v a z i o n e p e r l a S a n i t à D i g i t a l e - p e r l ' a d e s i o n e a l P r o g e t t o " S u p p o r t o p e r l ' a d e g u a m e n t o a l G D PR e attività per l'espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto". N O T E T R A S P A R E N Z A : Con il presente provvedimento si approva lo schema di convenzione con Arsenàl.IT-Centro Veneto Ricerca e Innovazione per la Sanità Digitale - per l'attività di cui al "Progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per l'espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto" , che avrà durata dalla data di sottoscrizione della convenzione sino al 31/12/2019. Il Direttore della UOC Affari Generali e Legali riferisce: Il 25/05/2018 scadrà il termine per i Titolari del Trattamento per a d e g u a r s i a l R e g o l a m e n t o ( U E ) 2 0 1 6 / 6 7 9 d e l P a r l a m e n t o e u r o pe o e d e l Consiglio del 27/04/2016 ( noto anche con l’acronimo inglese di GDPR - General Data Protection Regulation-) relativo alla protezione delle p e r s o n e f i s i c h e c o n r i g u a r d o a l t r a t t a m e n t o d e i d a t i p e r so n a l i , n o n c h é a l l a l i b e r a c i r c o l a z i o ne d i t a l i d a t i , c h e a b r o g a l a d i r e t t i v a 9 5 / 4 6 / C E ( r e g o l a m e n t o g e n e r a l e s u l l a p r o t e z i o ne d e i d a t i ) , e m i r a a g a r a n t i r e u n a disciplina uniforme ed omogenea in tutto il territorio dell'Unione e ur o p e a . L e n o r m e i n t r o d o t t e d a l R e go l a m e n t o U E 2 0 1 6 / 6 7 9 p r e v e d o n o n u o v i a d e m p i m e n t i , o l t r e a u n ’ i n t e n s a a t t i v i t à d i o r g a n i z z a z i o n e a c a r i c o de l l e amministrazioni pubbliche che si traducono in obblighi organizzativi, d o c u m e n t a l i e t e c n i c i d a a d o t t a r e p e r c o n s e n t i r e l a p i e n a e co n s a p e v o l e applicazione del nuovo quadro normativo in materia di privacy. Questa Azienda Ospedaliera ha, quindi, ritenuto opportuno, sin da subito, affrontare la tematica in argomento, in aderenza anche al nuovo principio di "accountability" (obbligo di rendicontazione), per cui il titolare dovrà dimostrare l'adozione di politiche privacy e di misure di sicurezza, organizzative e tecniche, adeguate ed efficaci a protezione dei dati, in deliberazione n. 659 del 22/5/2018 pagina 1 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA c o n f o r m i t à a l R e g o l a m e n t o , d i s c i p l i n a n d o c o m p i t i , r e go l a m e n t i e p o l i c y interne che garantiscano l’assolvimento dei (non pochi) adempimenti i m p o s t i d a l l e n o r me e u r o p e e , a t u t e l a d e i d i r i t t i e d e l l e l i b e r t à de g l i interessati. A l l a l u c e d i c i ò , c o n d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 i l D i r e t t o r e G e ne r a l e d e l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a h a , q u i n d i , a p p r o v a t o , q u a l e s t r u m e n t o a c a r a t t e r e p r o g r a m m a t i c o u n a R e l az i o n e T e c n i c a c h e rappresenta, in modo schematico e per quanto possibile sintetico, gli a d e m p i m e n t i c u i d e v e f a r f r o n t e q u e s t a A z i e n d a O s pe d a l i e r a p e r e f fe t t o d e l l e n o r m e e u r o pe e , i n d i v i d u a n d o g l i a m b i t i d i a t t i v i t à az i e n d a l e d o v e f a r rientrare i numerosi adempimenti di carattere strategico, organizzativo, t e c n o l o g i c o i n f o r m a t i c o e co m u n i c a t i v o , t e n e n d o c o n t o s i a d e l f a t t o c he m o l t i d i q u e s t i a d e m p i m e n t i n o n s o n o a n c o r a b e n d e f i n i t i pe r i l d e s c r i t t o contesto normativo attuale, sia delle disposizioni organizzative contenute nel nuovo atto Aziendale di questa Azienda Ospedaliera (ad oggi ancora a l v a g l i o d e l l a R e g i o n e V e ne t o p e r l a p r e v i s t a v a l u t a z i o n e d i c o n f o r m i t à ) . Tra i molteplici adempimenti previsti dal Regolamento UE 2016/679 il Garante per la protezione dei dati personali ha suggerito alle Amministrazioni, attraverso una scheda informativa, di avviare con a s s o l u t a p r i o r i t à : l a d e s i g n a z i o n e d e l R e s p o n s a b i l e d e l l a P r o t e z i o n e de i D a t i - R P D ( a r t t . 3 7 - 3 9 ) n o t o a n c h e co n l ’ a c r o n i m o i n g l e s e “ D P O ” ( D a t a Protection Officer); l’istituzione del registro delle attività di trattamento ( a r t . 3 0 e co n s . 1 7 1 ) ; l a n o t i f i c a d e l l e v i o l a z i o n i d e i d a t i p e r s o n a l i ( c . d . Data Breach). P o i c h è r i s u l t a i n d i s p e n s a b i l e a d e m p i e r e a l l e n u o v e d i s p o s i z i o n i d e l G D PR n e i t e r m i n i s t a b i l i t i d a l l a no r m a t i v a , co m e s o p r a r i c h i a m a t i , g a r a n t e n d o l’uniformità e l’organicità dei processi organizzativi e informativi- i n f o r m a t i c i d i t u t t e l e Az i e n d e d e l S S R ne l r i s p e t t o d e i p r i n c i p i d i e f f i c i e n z a , e f f i c a c i a , r az i o n a l i t à e d e co n o m i c i t à n e l l ’ i m p i e g o d e l l e r i s o r se , l’Azienda Zero, Ente di governance della sanità regionale veneta, istituito d a l l a L e g g e R e g i o n a l e n . 1 9 d e l 2 5 /1 0 / 2 0 1 6 , c o n d e c r e t o c o m m i s s a r i a l e d e l 1 5 7 d e l 2 6 /0 4 / 2 0 1 8 , n e l r e c e p i r e l ’ i n d i c a z i o n e e s p r e s s a d a l C o m i t a t o d e i D i r e t t o r i G e ne r a l i ( a r t . 3 L .R . n . 1 9 / 2 0 1 6 ) n e l l e se d u t e d e l 5 m a r z o 2018 e 23 aprile 2018, ha approvato e affidato al Consorzio Arsenàl.IT -Centro Veneto Ricerca e Innovazione per la Sanità Digitale – il Progetto da questo predisposto, su richiesta di Azienda Zero, ad oggetto “Supporto p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e Sanitarie del Veneto” deliberazione n. 659 del 22/5/2018 pagina 2 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA C o n s u c c e s s i v a n o t a p r o t . 6 0 4 5 de l l ’ 1 / 0 5 / 2 0 1 8 l ’ A z i e n d a Z e r o h a t r a s m e s s o i l s u c c i t a t o P r o g e t t o u n i t a m e n t e a l l o s c h e m a d i C o n v e nz i o n e p e r l ’ a d e s i o n e v o l o n t a r i a d a p a r t e d e l l e az i e n d e s a n i t a r i e . A l l a l u c e d i q u a n t o s o p r a e s p o s t o , s i p r o p o ne d i a p p r o v a r e l o s c h e m a d i C o n v e n z i o ne co n A r s e n à l . I T ( A l l . A ) p e r l ’ a d e s i o n e a l P r o g e t t o “ S u p p o r t o p e r l ’ a d e g u a m e n t o a l G D PR e a t t i v i t à p e r l ’ e s p l e t a m e n t o d e l r u o l o d i R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i ( R P D ) u n i c o p e r t u t t e l e Az i e n d e S a n i t a r i e d e l V e n e t o ” , a l l e g a t o q u a l e p a r t e i n t e g r a n t e e so s t a n z i a l e a l l a convenzione. I n o l t r e , c o m e p r e v i s t o d a t a l e P r o g e t t o ( p u n t o 4 .2 l e t t . b ) , s i p r o p o ne d i i n d i v i d u a r e i l r e fe r e n t e i n t e r n o a l l ’ A z i e n d a O s p e d a l i e r a d i P a d o v a , p r e p o s t o a g l i a d e m p i m e n t i az i e n d a l i i n m a t e r i a d i p r i v a c y ( d a a t t u a r s i secondo quanto previsto dalla r e l a z i o ne Tecnica allegata alla Deliberazione del Direttore G e ne r a l e n. 537 del 2 4 /0 4 / 2 0 1 8 , soprarichiamata), con funzioni di raccordo con il Gruppo di lavoro m u l t i d i s c i p l i n a r e ( c o s t i t u i t o co n d e c r e t o d e l C o m m i s s a r i o d i A z i e n d a Z e r o n. 157 del 26/04/2018 a supporto delle singole Aziende UU.LL.SS., A z i e n d e O s p e d a l i e r e e I O V ) e co n i l B o a r d / R P D ( B o a r d p i ù r i s t r e t t o c o n compiti di supporto operativo all’RPD, formato da professionalità multidiciplinari, costituito, anch’esso, in e se c u z i o n e del p r o ge t t o a p p r o v a t o c o n D e cr e t o c o m m i s s a r i a l e d i A z i e n d a Z e r o n . 1 5 7 , d e l 2 6 /0 4 / 2 0 1 8 ) , p r e v e d e n d o , a l t r e s ì , l a m e s s a a d i s p o s i z i o n e d i a p p o s i t e d o t a z i o n i l o g i s t i c h e , s t r u m e n t a l i e r i s o r se u m a n e s e m p r e p e r i l s u p p o r t o locale all’RPD, al Gruppo di lavoro e al Board/RPD. I L DI R E T T O R E G E N E R A L E PRESO ATTO della suestesa proposta e accertato che il Direttore della U O C A f f a r i G e n e r a l i e L e g a l i h a a t t e s t a t o l ’ a v v e n u t a r e go l a r e i s t r u t t o r i a della pratica, anche in ordine alla conformità con la vigente legislazione statale e regionale; R I T E N U T O d i d o v e r a d o t t a r e i n m e r i t o i p r o v v e d i m e n t i n e ce s s a r i ; VISTO il Decreto Legislativo n. 502/92 e successive modifiche ed integrazioni e le leggi regionali n. 55 e n. 56 del 1994 e successive modifiche ed integrazioni; ACQUISITO il parere favorevole del Direttore Amministrativo e del Direttore Sanitario per quanto di rispettiva competenza; I N B A S E a i p o t e r i c o n f e r i t i g l i d a l D . P . G . R . n r . 9 2 d e l 0 1 .0 8 . 2 0 1 6 . deliberazione n. 659 del 22/5/2018 pagina 3 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA DELIBERA 1 . d i a p p r o v a r e , pe r l e r a g i o n i e s p r e s se i n p r e m e s s a , l o s c h e m a d i C o n v e n z i o ne , a l l e g a t o a l p r e s e n t e p r o v v e d i m e n t o p e r c o s t i t u i r n e p a r t e integrante e sostanziale, quale strumento regolatorio dei rapporti tra Azienda Ospedaliera di Padova e Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale - per l’attività di cui al Progetto “Supporto per l’adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le A z i e n d e S a n i t a r i e d e l V e n e t o ” ” , c h e co s t i t u i s c e p a r t e i n t e g r a n t e e sostanziale della medesima Convenzione; 2. di individuare, quale referente aziendale preposto agli adempimenti a z i e n d a l i i n m a t e r i a d i p r i v a c y ( s e co n d o q u a n t o p r e v i s t o d a l l a r e l a z i o n e T e c n i c a a l l e g a t a a l l a p r e c e de n t e d e l i b e r a z i o n e n . 5 3 7 d e l 2 4 /0 4 / 2 0 1 8 ) , l ' a v v . M a r i a G r a z i a C a l ì o s u o de l e g a t o , S o s t i t u t o R e s p o n s a b i l e d e l l a U O C A f f a r i G e ne r a l i e L e g a l i , c o n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o d i lavoro e con il Board/RPD; 3. di mettere a disposizione dell’ RPD nonchè del Gruppo di lavoro e del B o ar d / R P D , a l f i n e d i co n s e n t i r e l ’ o t t i m a l e s vo l g i m e n t o d e i c o m p i t i e d e l l e f u n z i o n i l o r o a s s e g n a t e , l a S a l a R i u n i o n i d e l l a D i r e z i o n e G e ne r a l e , g a r a n t e n d o , a l t r e s ì , p e r l e m e de s i m e f i n a l i t à , l a n e ce s s a r i a d o t a z i o ne s t r u m e n t a l e e i l s u p p o r t o d i r i s o r s e u m a n e co n e s p e r i e n z a e c o no s c e n z a specifica della materia; 4. di rinviare ad un successivo provvedimento la costituzione di un G r u p p o d i L a v o r o az i e n d a l e co n f u n z i o n i d i r a c c o r d o c o n l ’ R P D , i l G r u p p o d i L a v o r o c o s t i t u i t o a l i v e l l o r e g i o n a l e e co n i l B o a r d / R P D c h e p r e v e d e r à s p e c i a l i s t i i n a m b i t o l e g a l e co n e s p e r i e n z a e c o n o s ce n z a s p e c i f i c a d e l l a normativa e delle prassi in materi di privacy, nonché delle norme e delle procedure amministrative che caratterizzano il settore sanitario; in ambito informatico con comprovata esperienza in ambito IT e specifica c o n o s c e nz a d e g l i a p p l i c a t i v i d e l se t t o r e s a n i t a r i o e a m m i n i s t r a t i v o ; i n a m b i t o d i p r o c e s s i a z i e n d a l i c o n co m p r o v a t a e s p e r i e n z a e a p p r o f o n d i t a c o n o s c e nz a m a t u r a t a n e l l ’ a m b i t o d e l l a D i r e z i o n e s a n i t a r i a ; 5. di dare atto che la durata della Convenzione, di cui al punto 1), d e c o r r e r à d a l l a d a t a d e l l a s u a s o t t o s c r i z i o n e e f i n o a l 3 1 /1 2 / 2 0 1 9 ; 6. Di prendere atto che, per quanto concerne gli aspetti relativi al c o r r i s p e t t i v o pe r l e a t t i v i t à s vo l t e d a A r se n à l . I T , g l i o n e r i d e r i v a n t i dall’esecuzione delle attività previste dal Progetto (Punto 8 “ D i m e n s i o n a m e n t o e co n o m i c o A r s e n à l . I T ” ) “ t r o ve r a n n o c o pe r t u r a n e l deliberazione n. 659 del 22/5/2018 pagina 4 di 22
REGIONE DEL VENETO AZIENDA OSPEDALIERA DI PADOVA bilancio di Azienda Zero”, come disposto al punto 4 del Decreto c o m m i s s a r i a l e de l l a me d e s i m a n . 1 5 7 d e l 2 6 a p r i l e 2 0 1 8 . Il Direttore Generale F.to Dott. Luciano Flor deliberazione n. 659 del 22/5/2018 pagina 5 di 22
Adesione al Progetto “Supporto per l’adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto” – Azienda Ospedaliera di Padova CONVENZIONE tra Azienda Ospedaliera di Padova Codice Fiscale e Partita IVA 00349040287, con sede in via Giustiniani, 1, rappresentata nel presente atto dal Dott. Luciano Flor, nato a Revò (TN), il 24/02/21958, il quale interviene nel presente atto non in proprio, ma in qualità di Direttore Generale dell’Azienda Ospedaliera di Padova; e ARSENÀL.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale (di seguito, per brevità, Arsenàl.IT), Codice Fiscale e Partita IVA 04013550266, con sede legale in Treviso, Viale Guglielmo Oberdan n.5, rappresentata nel presente atto dal dott. Mauro Rizzato, nato a Treviso, il 17 gennaio 1978, il quale interviene nel presente atto non in proprio, ma in qualità di Direttore Amministrativo di Arsenàl.IT; Premesso che: a) il “Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per brevità, anche GDPR – prevede un’intensa attività di organizzazione a carico delle amministrazioni pubbliche e nuovi adempimenti, tra cui la designazione del Responsabile della Protezione dei Dati – di seguito, per brevità, RPD – ex articolo 37 GDPR; b) con riguardo alla designazione del RPD, l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”; c) in tale contesto, il Comitato dei Direttori Generali, di cui all’art. 3 l.r. n. 19/2016, nella seduta del 05.03.2018, ha espresso l’opzione per la nomina di un unico RPD per tutte le Aziende Sanitarie venete, indicando il Consorzio Arsenàl.IT per lo svolgimento delle attività connesse all’individuazione, alla nomina e all’operatività di tale figura; d) con Decreto del Commissario n.157 del 26 aprile 2018 Azienda Zero ha approvato e affidato al Consorzio il progetto con oggetto “supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto”, predisposto da Arsenàl.IT su richiesta di Azienda Zero e di seguito individuato, per brevità, anche come Progetto; e) il succitato Decreto n. 157/2018 è stato inviato a questa Azienda Sanitaria con nota di Azienda Zero prot. n. 5455 del 27 aprile 2018; f) l’adesione al succitato Progetto avviene su base volontaria; g) con nota prot. n. 6045 del 11/05/2018, Azienda Zero, ha trasmesso alle Aziende Sanitarie il Progetto e il presente schema di convenzione per l’adesione volontaria al medesimo; h) che nel documento “Progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto” sono stati previsti, alla sezione “Ruoli nel progetto”, specifici ruoli e attività in capo alle Aziende Sanitarie aderenti e ad Arsenàl.IT; deliberazione n. 659 del 22/5/2018 pagina 6 di 22
i) che l’Azienda Ospedaliera di Padova, con Deliberazione n. …….. del ……… del Direttore Generale, ha preso atto del Progetto e vi ha aderito, impegnandosi a svolgere le attività previste nella sezione “Ruoli nel progetto” e approvando il presente schema di convenzione; j) che con medesima Deliberazione, come previsto nel Progetto, è stato individuato il referente aziendale nella persona dell’avv. Maria Grazia Calì o Suo delegato, Sostituto Responsabile della UOC Affari Generali e legali; Tutto ciò premesso, tra le Parti si conviene quanto segue: 1) PREMESSE Le premesse costituiscono parte integrante della presente Convenzione. 2) OGGETTO La presente Convenzione regola i rapporti tra le Parti per l’attività di cui al “Progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto” – di seguito, per brevità, “Progetto”, articolato nelle seguenti 3 fasi, meglio dettagliate nel medesimo: • FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al GDPR da parte delle Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina RPD unico; • FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a seguito dei futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità Garante – delle risultanze della prima applicazione del modello proposto su base regionale e dell’adeguatezza delle modalità di erogazione del servizio; • FASE III (01.01.2019 – 31.12.2019, in linea con le progettualità consortili attive): attività del RPD unico, con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali adottati. Il Progetto, allegato alla presente, costituisce ed è espressamente riconosciuto come parte integrante e sostanziale della presente Convenzione e pienamente vincolante tra le Parti. Le Parti danno atto che tale documento potrà essere suscettibile di aggiornamento e modifica, previo accordo scritto tra le Parti medesime. 3) ADEMPIMENTI DELL’AZIENDA SANITARIA In base alla propria adesione, al fine di garantire l’operatività del Progetto, l’Azienda Ospedaliera di Padova, titolare ex lege del trattamento dei dati, si impegna a svolgere le seguenti attività: • Nominare quale proprio RPD il soggetto individuato da Arsenàl.IT; • individuare e comunicare ad Arsenàl.IT il nominativo del proprio referente interno, ovvero del soggetto preposto agli adempimenti aziendali in materia di privacy (come da Deliberazione del Direttore Generale n. ….. del ……….), con funzioni di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018); • mettere a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD. La nomina del RPD sarà effettuata seguendo le indicazioni fornite in materia da parte dell’Autorità Garante. Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo. 4) ADEMPIMENTI DI ARSENÀL.IT deliberazione n. 659 del 22/5/2018 pagina 7 di 22
Arsenàl.IT si impegna, subordinatamente alla messa a disposizione delle professionalità da parte delle Aziende Sanitarie per il Board RPD, come previsto dal Progetto – tra l’altro – allo svolgimento delle seguenti principali attività: Fase I • Project management Gruppo di Lavoro; • Individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle Aziende Sanitarie. Fase II • Attività necessarie a garantire l’operatività del RPD unico per le Aziende Sanitarie; • coordinamento operativo e organizzativo del Board RPD. Fase III • Prosecuzione delle attività previste nella Fase II, con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione. Arsenàl.IT, inoltre, si impegna a realizzare gli output così come indicati alla Sezione rubricata “Piano degli output di Arsenàl.IT” del Progetto. Per quanto qui non espressamente richiamato, si rinvia alle previsioni del Progetto medesimo. Le parti si danno reciprocamente atto che Arsenàl.it e il Responsabile della Protezione dei Dati, nello svolgimento delle attività di cui alla presente convenzione, non si sostituiscono alle Aziende Sanitarie (Titolari del Trattamento) negli adempimenti posti normativamente a carico delle stesse né, pertanto, al ruolo istituzionale degli Uffici aziendali rispettivamente competenti in materia di privacy. 5) DURATA Le Parti convengono che la durata della presente Convenzione decorra dalla data della sua sottoscrizione e fino al 31.12.2019. Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate per iscritto tra le Parti. deliberazione n. 659 del 22/5/2018 pagina 8 di 22
6) CORRISPETTIVO Per quanto concerne gli aspetti relativi al corrispettivo per le attività svolte da Arsenàl.IT, si precisa che gli oneri derivanti dall’esecuzione delle stesse “troveranno copertura nel bilancio di Azienda Zero”, come disposto al punto 4 del Decreto commissariale della medesima n. 157 del 26 aprile 2018. 7) RISERVATEZZA La presente Convenzione impegna le Parti e il personale coinvolto nel Progetto a non divulgare o comunque a non utilizzare dati o fatti inerenti all’altra Parte, senza preventivo esplicito consenso, salvo diversi accordi. Le Parti e il personale coinvolto nel Progetto si impegnano a non divulgare la documentazione reciprocamente fornita alla scadenza della presente Convenzione e, in ogni caso, a conservarla come depositari per almeno i cinque anni successivi al termine finale, fatto salvo quanto diversamente concordato tra le Parti. Per “informazione confidenziale” si intende ogni oggetto, descrizione, disegno, layout di circuito, nastri, dischi ed ogni altro supporto leggibile da computer, documenti scritti, informazioni, incluse informazioni visive e verbali, tecnologie e know-how, che: • siano attinenti ad attività passate, presenti o future svolte dal Consorzio e dalle Aziende consorziate nei diversi campi in cui esse operano; • sia attinente in generale all’organizzazione, all’attività del personale, agli investimenti, ai dati tecnici, ai rapporti contrattuali, ai diritti, alle obbligazioni e alle responsabilità del Consorzio e delle Aziende consorziate; • risultino dall’attività oggetto della presente Convenzione. Le Parti e il personale coinvolto nel Progetto – salvo quanto diversamente disposto dalla presente Convenzione – convengono che qualsiasi informazione confidenziale ricevuta: • sarà protetta e considerata confidenziale, con lo stesso grado di precauzione e tutela utilizzato per le informazioni di proprietà della Parte ricevente e comunque non inferiore alla diligenza del buon padre di famiglia; • non dovrà essere rivelata, direttamente o indirettamente, a terzi; • sarà utilizzata solo da dipendenti e/o collaboratori che abbiano necessità di conoscerla e, comunque, solo per gli scopi specificati nella presente Convenzione; i dipendenti e/o collaboratori sono tenuti a non divulgare le informazioni confidenziali di cui siano a conoscenza e ciascuna parte resta responsabile per l’esatta osservanza da parte dei propri dipendenti e/o collaboratori degli obblighi di segretezza anzidetti; • non dovrà essere copiata, riprodotta o duplicata, né impiegata, anche parzialmente, per scopi diversi da quelli stabiliti dalla presente Convenzione, senza preventivo consenso scritto dell’altra Parte. Qualunque informazione confidenziale o relativa copia, prodotta da ciascuna Parte, rimarrà di proprietà della stessa, salvo quanto diversamente disposto dalla presente Convenzione. L'impegno di segretezza: • non sorge o cessa di esistere riguardo alle informazioni confidenziali che siano divenute di pubblico dominio per fatto non imputabile alla Parte tenuta alla segretezza; • non sorge riguardo alle informazioni confidenziali che si possa documentalmente dimostrare che erano già note alla Parte che le riceve; deliberazione n. 659 del 22/5/2018 pagina 9 di 22
• non sorge o cessa di esistere riguardo a quelle informazioni confidenziali che siano state comunicate alla Parte tenuta alla segretezza anche da una terza parte avente il diritto di farlo senza obbligo di segretezza; non sorge quando il destinatario delle informazioni sia obbligato a comunicare o divulgare le notizie, informazioni, documentazioni confidenziali in ottemperanza di una richiesta di qualsiasi Autorità o in forza di un obbligo di legge. In tal caso il destinatario darà tempestiva notizia scritta di tale comunicazione o divulgazione alla controparte. 8) RISULTATI Le Parti concordano e si danno reciprocamente atto che saranno egualmente proprietarie dei risultati scaturiti dalle attività comuni di cui alla presente Convenzione, fatti comunque salvi i diritti morali dovuti agli autori. I risultati comuni scaturiti dall'attività progettuale saranno utilizzati, divulgati, pubblicati e sfruttati dalle Parti avuto merito della natura del Progetto, nel pieno rispetto delle finalità istituzionali delle Parti medesime, dei loro Regolamenti interni e della normativa vigente in materia, fatti comunque salvi diversi accordi da formalizzarsi per iscritto. Ciascuna Parte rimane proprietaria delle conoscenze e dei risultati raggiunti autonomamente nell’ambito della presente Convenzione, ove individuabili. Tutte le informazioni, le conoscenze e i diritti di proprietà intellettuale posseduti da una Parte prima della conclusione della presente Convenzione, sviluppati o acquisiti parallelamente o contemporaneamente alla stessa, ma con modalità indipendenti dalla sua esecuzione, resteranno di proprietà esclusiva di detta Parte, che rimarrà libera di utilizzarli o rivelarli a sua sola discrezione. 9) ASSICURAZIONI E SICUREZZA Ai sensi dell'art. 10 D.M. n. 363/1998, gli obblighi previsti d.lgs. n. 81/2008 in materia di sicurezza sul lavoro gravano sulla Parte ospitante, per quanto riguarda il personale che si trovi presso di essa nell’espletamento di attività connesse all’attuazione della presente Convenzione. Anche il personale ospitato è tenuto a osservare le norme in materia di prevenzione e protezione dettate dall’ente ospitante, che provvederà previamente a garantirne la conoscenza. Arsenàl.IT garantisce che il proprio personale impegnato nelle attività di cui all’art. 1 presso le strutture dell’Azienda Zero è assicurato per responsabilità civile e contro gli infortuni. L’Azienda Zero, analogamente, garantisce che il personale coinvolto nelle attività oggetto della presente Convenzione presso le strutture del Consorzio è assicurato per responsabilità civile e contro gli infortuni. Inoltre, il personale coinvolto nel Progetto è tenuto a uniformarsi ai regolamenti disciplinari e di sicurezza in vigore nelle sedi di esecuzione delle attività attinenti alla presente Convenzione, nel rispetto della normativa per la sicurezza dei lavoratori di cui al d.lgs. n. 81/2008 e ss.mm.ii., osservando, in particolare, gli obblighi di cui all’art. 20 del decreto citato, nonché le disposizioni del responsabile del servizio di prevenzione e protezione. Gli obblighi previsti dall’art. 26 d.lgs. n. 81/2008 e ss.mm.ii. e la disponibilità di dispositivi di protezione individuale (DPI), in relazione ai rischi specifici presenti nella struttura ospitante, sono attribuiti al soggetto di vertice della struttura ospitante. Tutti gli altri obblighi ricadono sul responsabile dell’ente di provenienza. 10) PRIVACY Le Parti e il personale coinvolto nel Progetto si impegnano a osservare quanto disposto dalle vigenti norme in materia di data protection in relazione ai dati personali eventualmente acquisiti e/o utilizzati per lo svolgimento delle attività di cui alla presente Convenzione. deliberazione n. 659 del 22/5/2018 pagina 10 di 22
Ai sensi e per gli effetti delle norme vigenti in materia di data protection, le Parti e il personale coinvolto nel Progetto prestano il consenso al trattamento dei propri dati personali per l’esecuzione di tutte le operazioni e attività connesse alla presente Convenzione. Il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza e dei diritti. 11) CONTROVERSIE Le Parti concordano di definire amichevolmente qualsiasi controversia dovesse sorgere dalla interpretazione o applicazione della presente Convenzione. Qualora non fosse possibile risolvere bonariamente le controversie, il Foro competente a dirimere le stesse è, in via esclusiva, quello di Padova. 12) RINVIO A NORME DI LEGGE Per quanto non previsto dalla presente Convenzione, si rinvia alle vigenti norme nazionali e regionali in materia. 13) STIPULA E DISPOSIZIONI FINALI La presente Convenzione è sottoscritta con firma digitale ai sensi dell’articolo 24 del d.lgs. n. 82/2005 (Codice dell’amministrazione digitale) e ss.mm.ii. Eventuali proroghe o modifiche alla presente Convenzione dovranno essere sottoscritte dalle Parti con le medesime modalità. Il presente atto è letto, approvato specificamente articolo per articolo, premesse incluse, e sottoscritto. Per l’Azienda Ospedaliera di Padova Per il Consorzio Arsenàl.IT IL DIRETTORE GENERALE IL DIRETTORE AMMINISTRATIVO Dott. Luciano Flor Le parti dichiarano di approvare specificamente la clausola di cui all’art. 11) Controversie. Per l’Azienda Ospedaliera di Padova Per il Consorzio Arsenàl.IT IL DIRETTORE GENERALE IL DIRETTORE AMMINISTRATIVO Dott. Luciano Flor deliberazione n. 659 del 22/5/2018 pagina 11 di 22
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale Allegato: Rif. Nota Azienda Zero prot. N 3822 del 27.03.2018 Oggetto: progetto tecnico e proposta economica per supporto adeguamento al GDPR e attività per l’espletamento del ruolo di Responsabile della Protezione dei Dati (RPD) unico per tutte le Aziende Sanitarie del Veneto 1. PREMESSE E CONTESTO DI RIFERIMENTO Il 25.05.2018 scadrà il termine per i Titolari del trattamento per adeguarsi al “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” – di seguito, per brevità, GDPR – con cui sono previsti nuovi adempimenti, oltre a una intensa attività di organizzazione a carico delle amministrazioni pubbliche. Il Garante per la protezione dei dati personali suggerisce a quest’ultime, attraverso una scheda informativa1, di avviare, con assoluta priorità: la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39), noto anche con l’acronimo inglese “DPO” (Data Protection Officer); l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171); la notifica delle violazioni dei dati personali (c.d. Data Breach, artt. 33 e 34). Con specifico riguardo alla designazione del Responsabile della Protezione dei Dati – di seguito, per brevità, RPD – l’articolo 37, comma 3, del GDPR prevede che “Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati (RPD nda) può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione”. Risulta indispensabile, pertanto, adempiere alle nuove disposizioni del GDPR – nei termini stabiliti dalla normativa, come sopra richiamati – garantendo, da un lato, l’uniformità e l’organicità dei processi organizzativi e informativo-informatici di tutte le Aziende del SSR e, dall’altro, lo sviluppo di modelli organizzativi in grado di creare sinergie tra i diversi soggetti coinvolti, evitando la frammentarietà delle informazioni e valorizzando la trasversalità dei processi, nel rispetto dei principi di efficienza, efficacia, razionalità ed economicità nell’impiego delle risorse. La necessità di uniformazione e di convergenza verso modelli organizzativi comuni trova fondamento, in primis, nella riforma del Sistema Sanitario Regionale del Veneto, di cui alla Legge Regionale n. 19 del 25.10.2016, recante "Istituzione dell'ente di governance della sanità regionale veneta denominato "Azienda per il governo della sanità della Regione del Veneto - Azienda Zero". Disposizioni per la individuazione dei nuovi ambiti territoriali delle Aziende ULSS". Tale intervento normativo, oltre alla ridefinizione dell’assetto organizzativo delle Aziende ULSS, istituisce l’Azienda Zero, con finalità di razionalizzazione, integrazione ed efficientamento dei servizi sanitari, socio-sanitari e tecnico- amministrativi del servizio sanitario regionale. La DGR n. 1785 del 07.11.2016, peraltro, definisce le linee di intervento finalizzate al potenziamento e alla razionalizzazione del Sistema informativo socio-sanitario, attraverso una diffusione sistemica del modello organizzativo attuato con il Progetto FSEr e conferma il Consorzio Arsenàl.IT quale soggetto individuato per il coordinamento gestionale, la direzione lavori e l’assistenza agli avviamenti della Fase II del Progetto FSEr medesimo, con verifica e validazione degli standard impiegati. Tra le attività affidate al Consorzio rientra, tra l’altro, il presidio degli aspetti di privacy e sicurezza nel trattamento dei dati personali, in continuo raccordo con i referenti individuati dalle Aziende Sanitarie. 1 http://www.garanteprivacy.it/regolamentoue/formazione/#prioritaPA 1 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 12 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale Nella medesima ottica, ad Arsenàl.IT – giusta Decreto commissariale di Azienda Zero n. 369 del 15.12.2017 – è stata affidata la realizzazione del “Fascicolo Amministrativo Contabile Elettronico regionale – FACEr”, le cui attività si sviluppano contiguamente all’evoluzione del Progetto FSEr. In tale contesto, a garanzia del puntuale e uniforme adeguamento al GDPR da parte delle Aziende Sanitarie, nonché a garanzia dello sviluppo delle attività progettuali di interesse regionale secondo i principi della privacy by design2, è emersa l’opportunità di individuare un unico RPD per tutte le Aziende SSR, fornendo alle stesse un supporto unitario e trasversale. In tal senso, come comunicato con nota di Azienda Zero protocollo n. 3822 del 27.3.2018, il Comitato dei Direttori Generali ex l.r. n. 19/2016 ha espresso l’opzione per la nomina di un RPD per tutte le Aziende Sanitarie venete, indicando, a tal fine, il Consorzio Arsenàl.IT per lo svolgimento delle attività necessarie all’individuazione, alla nomina e all’operatività di tale figura. 2. IL PROGETTO E L’ORGANIZZAZIONE Alla luce delle premesse, a seguito della seduta del 05.03.2018 del Comitato dei Direttori Generali, con nota protocollo n. 3822 del 27.03.2018, Azienda Zero ha richiesto ad Arsenàl.IT di formulare una proposta tecnico-economica per il supporto all’adeguamento al GDPR e per lo svolgimento delle attività necessarie all’individuazione, alla nomina e all’operatività di un RDP unico per tutte le Aziende Sanitarie della Regione del Veneto. Di seguito si riporta la proposta tecnico-economica richiesta, comprensiva della descrizione dei modelli organizzativi applicabili. Il progetto si articolerà in tre fasi: • FASE I (dall’affidamento dell’incarico - 24.05.2018): supporto all'attività di adeguamento al GDPR da parte delle Aziende SSR, attraverso un Gruppo di Lavoro multidisciplinare, e nomina RPD unico; • FASE II (25.05.2018 - 31.12.2018): primo semestre di attività del RPD unico, con valutazione – a seguito dei futuri provvedimenti del Legislatore nazionale e indicazioni dell’Autorità Garante – delle risultanze della prima applicazione del modello proposto su base regionale e dell’adeguatezza delle modalità di erogazione del servizio; • FASE III (01.01.2019 – 31.12.2019, in linea con progettualità consortili attive): attività del RPD unico, con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione. 2.1 FASE I (01.04.2018 - 24.05.2018) La Fase I prevede che: a. Arsenal.IT si impegni a organizzare il modello RPD di cui al presente documento; b. Arsenal.IT coordini il supporto alle Aziende Sanitarie nelle attività preliminari all’ adeguamento al GDPR attraverso un Gruppo di Lavoro multidisciplinare, con professionalità messe a disposizione dalle Aziende Sanitarie. Composizione del Gruppo di Lavoro: • Arsenàl.IT (Project Manager); • esperti area privacy – Azienda Sanitaria; 2 I principi della privacy by design prevedono che gli aspetti di riservatezza e sicurezza nel trattamento dei dati siano valutati, sin dalla fase di progettazione di una soluzione aziendale, unitamente alle relative applicazioni informatiche di supporto. 2 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 13 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale • esperti area legale – Azienda Sanitaria; • esperti area ICT – Azienda Sanitaria. Funzioni del Gruppo di Lavoro: - individuazione di linee guida e condivisione con le Aziende Sanitarie di modelli standard per l’adeguamento alle disposizioni del GDPR (linee guida/regolamenti su ruolo e compiti RPD, linee guida in materia di Data Breach, modello registro trattamenti, etc.). c. a chiusura della fase I, le Aziende Sanitarie potranno nominare, su base volontaria, un RPD unico – esterno – individuato a cura di Arsenàl.IT.. 2.2.FASE II (25.05.2018 - 31.12.2018) La Fase II prevede che il RPD unico venga nominato da ciascuna Azienda Sanitaria e con il supporto di un Board multidisciplinare, svolga a favore di tutte le Aziende Sanitarie – inclusa Azienda Zero – i compiti declinati dall’articolo 39 del GDPR, sulla base del seguente modello organizzativo: A garanzia di una più estesa condivisione dei contenuti e dei modelli di riferimento potrà continuare l’attività del Gruppo di Lavoro. In considerazione dei futuri provvedimenti del Legislatore nazionale e delle indicazioni dell’Autorità Garante, nel corso del primo periodo di attività del RPD unico sarà condotta una valutazione delle risultanze della prima applicazione del modello proposto su base regionale e dell’adeguatezza delle modalità di erogazione del servizio. Risulta necessario, infatti, valutare se la struttura organizzativa e le attività di RPD proposte nella Fase II (sino al 31.12.2018) – e il nuovo assetto che ne deriva, anche all’interno delle Aziende SSR – si adattino alle nuove disposizioni dell’ordinamento interno, non ancora promulgate e che potrebbero avere ricadute organizzativo-economiche attualmente non prevedibili e preventivabili. Funzioni RPD unico (ex art. 39 GDPR) a) Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle 3 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 14 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR; d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Arsenàl.IT si occuperà delle attività necessarie all’individuazione, alla nomina e all’operatività del RPD unico per le Aziende Sanitarie (inclusa Azienda Zero), con i compiti di cui all’articolo 39 del GDPR. A tal fine, il Consorzio si rivolgerà a professionalità esterne, in modo tale da garantire la terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni di potenziale conflitto di interessi. Board RPD Il Board RPD3 avrà compiti di supporto operativo al RPD unico nelle funzioni a questo attribuite. Per lo svolgimento dell'incarico, Arsenàl.IT abbisogna dell’apporto di specifici profili professionali non presenti nel proprio organico, come di seguito riportati: - n. 1 profilo specialista in ambito legale, con comprovata esperienza e specifica conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano il settore sanitario; - n. 1 profilo specialista in ambito informatico, con comprovata esperienza in ambito IT e specifica conoscenza degli applicativi del settore sanitario e amministrativo; - n. 1 profilo specialista nell’ambito di processi aziendali, con comprovata esperienza e approfondita conoscenza maturata nell’ambito della direzione sanitaria. A tal fine, si prevede la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli d'intesa ex articolo 23bis d.lgs. n. 165/2001 tra Arsenàl.IT e le proprie consorziate, per l'assegnazione temporanea a tempo pieno presso il Consorzio di 3 profili professionali, come sopra individuati. Il Board RPD – in base alle specifiche esigenze operative – potrà coinvolgere altre professionalità specialistiche provenienti dagli enti SSR, nelle modalità qui definite, nonché altri soggetti esperti, anche esterni. Il modello organizzativo qui proposto permette, altresì, di promuovere l’acculturamento e la specializzazione in seno o per il tramite al board medesimo. Attraverso un idoneo programma di affiancamento e avvicendamento potranno essere create figure professionali idonee allo svolgimento o al supporto della attività privacy dall’interno delle Aziende Sanitarie. 2.3. FASE III (01.01.2019 - 31.12.2019) La Fase III prevede la prosecuzione/evoluzione delle stesse attività della Fase II per quanto riguarda il servizio di RPD Unico e il coordinamento del Board RPD. Le modalità di erogazione dell’attività per l’anno 2019 (Fase III) potranno subire variazioni e/o adattamenti da un punto di vista organizzativo e finanziario, avuto merito delle risultanze della valutazione condotta nel corso della Fase II. 3. RUOLI NEL PROGETTO 3 Il Board RPD è il team multidisciplinare, composto da figure di esperti in ambiti specifici (legale, protezione dei dati, ICT, organizzativo), così come indicato dalle linee guida del Working Group Articolo 29 (organismo consultivo e indipendente, composto da un rappresentante delle Autorità di protezione dei dati personali designate da ciascuno Stato membro). 4 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 15 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale 4.1 Ad Azienda Zero compete: a) emanazione Decreto commissariale per: - approvazione proposta tecnico-economica di Arsenàl.IT per le attività fino al 31.12.2019 e affidamento servizio; - promuovere la costituzione del Board RPD, attraverso l’istituto dell’assegnazione temporanea sopra richiamata; - avvio procedure per acquisizione strumento IT unico per registro attività di trattamento. b) acquisizione strumento IT unico per il registro delle attività di trattamento (da rendere operativo entro il 24.05.2018). 4.2 Alle Aziende SSR (inclusa Azienda Zero) compete, su base volontaria: a) la nomina del RPD unico individuato da Arsenàl.IT, secondo uno schema tipo di convenzione; b) l’individuazione e comunicazione ad Arsenàl.IT del nominativo del proprio referente interno, ovvero del soggetto preposto agli adempimenti aziendali in materia di privacy, con funzioni di raccordo con il Gruppo di Lavoro (e con il Board RPD dal 25.05.2018 – cfr. par. 2.2) e messa a disposizione uffici interni per supporto locale al Gruppo di Lavoro/Board RPD; c) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli d’intesa ex articolo 23bis d.lgs. n. 165/2001 con il Consorzio, per l'assegnazione temporanea presso Arsenàl.IT, a tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla sezione 2.2 del presente documento. L'onere per la corresponsione del trattamento economico al personale temporaneamente assegnato sarà a carico dell’Azienda SSR di appartenenza. 4.3 Attività Arsenàl.IT: Fase I a) Project management Gruppo di Lavoro: - coordinamento, organizzazione e conduzione delle attività del Gruppo di Lavoro; - pianificazione e supporto per attività di analisi sullo stato dell'arte dell'adeguamento al GDPR da parte delle Aziende SSR e delle eventuali azioni di miglioramento/rafforzamento; - attività di raccordo tra e con i referenti delle Aziende Sanitarie; - coordinamento dei contenuti delle linee guida e modelli sviluppati dal Gruppo di Lavoro con le Aziende Sanitarie; b) la predisposizione di uno schema tipo di convenzione per l’adesione al progetto da parte delle Aziende Sanitarie e per la nomina del RPD unico individuato da Arsenàl.IT; c) l’individuazione del soggetto per il ruolo di RPD unico e comunicazione dei suoi riferimenti alle Aziende Sanitarie; d) la stipulazione, con effetti operativi entro il 24 maggio 2018, di protocolli di intesa ex articolo 23bis d.lgs. n. 165/2001 con le Aziende SSR, per l'assegnazione temporanea presso Arsenàl.IT, a tempo pieno e per tutta la durata del progetto, di profili professionali, come individuati alla sezione 2.2 del presente documento. Il Consorzio, ai sensi del richiamato articolo 23bis d.lgs. n. 165/2001, potrà riconoscere al personale temporaneamente assegnato un compenso aggiuntivo in ragione delle attività svolte, facendosi carico del relativo onere economico. Fase II a) Arsenàl.IT svolgerà le attività necessarie a garantire l’operatività del RPD unico per le Aziende Sanitarie (inclusa Azienda Zero) aderenti. Il RPD unico individuato svolgerà i compiti di cui all’articolo 39 del GDPR, come di seguito richiamati: 5 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 16 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale - informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; - sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; - fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del GDPR; - cooperare con l'autorità di controllo; - fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Per il ruolo di RPD unico il Consorzio si rivolgerà a professionalità esterne, in modo tale da garantire la terzietà richiesta dalla norma ed evitare possibili incompatibilità, ovvero situazioni di potenziale conflitto di interessi; b) coordinamento operativo e organizzativo del Board RPD. Fase III Arsenàl.IT continuerà a svolgere le attività necessarie a garantire l’operatività del RPD unico per le Aziende Sanitarie (inclusa Azienda Zero), con eventuali adattamenti del modello organizzativo proposto e/o variazioni alle modalità di erogazione del servizio, avuto merito delle risultanze dell’attività condotta nel corso della Fase II e dei provvedimenti attuativi nazionali, ad oggi in corso di emanazione. 6 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 17 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale 5 GANTT Si propone di seguito il GANTT generale del progetto. FASE I FASE II FASE III (dall’incarico - (25.05.2018 - (01.01.2019 - ATTIVITÀ 24.05.2018) 31.12.2018) 31.12.2019) Milestone 1 Milestone 2 Milestone 3 Milestone 4 30.04.2018 24.05.2018 31.12.2018 31.12.2019 a) Elaborazione convenzione tipo per adesione al progetto e CONVENZIONE nomina RPD b) Ricognizione dello stato AS IS dell'adeguamento al GDPR c) Individuazione di linee guida e modelli comuni per Aziende LINEE GUIDA E MODELLI aderenti al RPD unico d) Acquisizione e operatività dello strumento IT (registro ACQUSIZIONE E OPERATIVITÀ trattamenti unico) da parte di STRUMENTO IT Azienda Zero e) Nomina RPD unico da parte NOMINA RPD dei titolari UNICO f) Attività RPD e coordinamento ATTIVITÀ RPD E BOARD Board RPD anno 2018 h) Attività RPD e coordinamento ATTIVITÀ RPD E BOARD Board RPD anno 2019 7 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 18 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Arsenàl.IT Centro Veneto Ricerca e Innovazione per la Sanità Digitale 6 PIANO DEGLI OUTPUT DI ARSENÀL.IT Di seguito sono riportati gli output di Arsenàl.IT, con indicazione della relativa scadenza. OUTPUT TERMINI Schema tipo convenzione per adesione al progetto e per la nomina del 30.04.2018 RPD unico Reportistica sullo stato di adeguamento al GDPR da parte Az. SSR (as is) 30.04.2018 Linee guida e modelli comuni per Aziende Sanitarie (prima release) 24.05.2018 Attività per operatività RPD unico e coordinamento board RPD (con 31.12.2018 produzione di reportistica, di norma trimestrale) – anno 2018 Attività per operatività RPD unico e coordinamento board RPD (con 31.12.2019 produzione di reportistica, di norma trimestrale) – anno 2019 7 DURATA ATTIVITÀ ARSENÀL.IT L'affidamento dei servizi ad Arsenàl.IT per lo svolgimento delle attività progettuali previste nella Fase I e II avrà durata fino al 31.12.2018. La Fase III avrà durata dall’01.01.2019 al 31.12.2019. Eventuali modifiche alle attività e ai termini progettuali dovranno essere concordate tra le Parti con accordo scritto. 8 DIMENSIONAMENTO ECONOMICO ARSENÀL.IT Le attività previste per il periodo fino al 31.12.2019 prevedono, a beneficio del consorzio Arsenal.IT, un corrispettivo pari ad Euro 496.500,00 (quattrocentonovantasemilacinquecento/00), al netto di IVA di legge, secondo lo schema che segue. 2018 2019 Fasi I e II Fase III TOTALE FTE 72.000 € 89.000 € 161.000 € SERVIZI ESTERNI 167.000 € 168.500 € 335.000 € TOTALE 239.000 € 257.500 € 496.500 € Nei budget per servizi esterni sono ricompresi: l’eventuale compenso aggiuntivo per le figure professionali delle Aziende Sanitarie in assegnazione temporanea presso Arsenàl.IT ex art. 23bis d.lgs. n. 165/2001, l’affidamento dell’incarico di RPD esterno, nonché l’acquisizione di ulteriori servizi specialistici in base alle necessità progettuali. Per lo svolgimento delle attività previste, Arsenàl.IT si avvarrà di un Project Manager SR e di profili specialistici in materia (specialist SR, IT specialist, functional analyst) secondo quanto sotto riportato. Il costo dimensionato è pari a: Euro 700,00/giornata per Project Manager SR e specialist SR; Euro 400,00/giornata per IT specialist e functional analyst. Nella tabella seguente si riporta la stima delle giornate uomo che saranno erogate complessivamente da Arsenàl.IT, suddivise per attività. 8 Arsenàl.IT – Centro Veneto Ricerca e Innovazione per la Sanità Digitale V.le G. Oberdan n. 5, 31100 – Treviso deliberazione n. 659 del 22/5/2018 pagina 19 di 22 Tel. +39 0422.216111 Fax +39 0422.216101 E-mail: info@consorzioarsenal.it Arsenàl.IT – Tutti di diritti riservati
Puoi anche leggere