Nomina a Responsabiledel Trattamento
Ai sensi dell’art. 28 del Regolamento UE 2016/679 del 27 aprile 2016 (di seguito, il “Regolamento”), DP Group S.p.A. con sede legale in via Montecuccoli n. 32, 20147 Milano (Italia), P. IVA di Gruppo 12580770969, C.F. 06955720963 e numero di iscrizione al Registro delle Imprese di Milano n. 06955720963 società a socio unico soggetta a direzione e coordinamento di Dinho Invest S.A’R.L. in qualità di contitolare, con riferimento ai dati personali dei pazienti dei centri odontoiatrici e poliambulatoriali del Gruppo, delle società di cui al seguente URL (di seguito, la “Società”),
considerato che:
- la Società e il medico/consulente tecnico ingaggiato a mezzo dello scambio di e-mail al quale il presente atto è allegato (di seguito, il “Responsabile”) hanno stipulato un accordo avente ad oggetto una consulenza tecnica in ambito medico e/o odontoiatrico e/o odontotecnico di cui il presente atto di nomina costituisce parte integrante e sostanziale (di seguito, il “Rapporto”);
- la Società agisce in qualità di Titolare del trattamento con riferimento ai dati personali trattati al fine di dare esecuzione al Rapporto e indicati più precisamente all’Allegato 1 (di seguito, i “Dati Personali”). Laddove la Società agisse a propria volta, rispetto ai Dati Personali (tutti o parte), in qualità di Responsabile del trattamento per conto di terzi Titolari del trattamento, la presente nomina a responsabile dovrà intendersi quale Sub-Nomina e tutti i riferimenti al Titolare del trattamento dovranno intendersi come riferiti ai terzi di cui sopra (e, ove applicabile, congiuntamente al Titolare del trattamento e alla Società in qualità di “primo” Responsabile del trattamento nominato dal Titolare);
- ex art. 28 del Regolamento, il responsabile del trattamento è designato dal titolare facoltativamente e, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
- i compiti affidati al responsabile del trattamento devono essere analiticamente specificati per iscritto dal Titolare ed il responsabile del trattamento deve attenersi alle istruzioni impartite dal Titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle stesse;
- le incombenze e le responsabilità oggetto della presente lettera di nomina vengono affidate al Responsabile sulla base delle dichiarazioni dallo stesso fornite alla Società (e della successiva verifica da parte della Società, per quanto ragionevolmente possibile, della loro rispondenza al vero) circa le caratteristiche di esperienza, capacità e affidabilità che vengono richieste dalla legge per chi esercita la funzione di Responsabile del trattamento, e il Responsabile è in grado di fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza, così come richiesto dalla Normativa Applicabile (come di seguito definita);
- è intenzione della Società, in qualità di Titolare del trattamento, procedere alla nomina del Responsabile a Responsabile del trattamento, il quale intende accettare.
Tutto ciò premesso, con il presente atto la Società
NOMINA
il Responsabile quale Responsabile del trattamento per i trattamenti di Dati Personali da effettuarsi ai sensi del Rapporto, secondo le modalità e nei limiti di seguito specificati.
1. Definizioni
Nel presente atto di nomina (di seguito, l’“Atto”) i termini la cui prima lettera è scritta in carattere maiuscolo hanno lo stesso significato loro attribuito dalla Normativa Applicabile. I seguenti termini hanno il significato di seguito indicato:
“Data Breach”, una qualsivoglia violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e che possa provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata;
“Misure di Sicurezza” sono le misure intese a proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, come previste all’art. 32 del Regolamento e tutte le ulteriori misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento posto in essere, come del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Queste misure dovranno includere, ove possibile: (i) la pseudonimizzazione e la cifratura dei dati personali; (ii) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di Data Breach; (iv) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
“Normativa Applicabile”, il Regolamento, il D. Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D. Lgs. 10 agosto 2018, n. 101 (di seguito, il “Codice”), nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, già in vigore o che entrerà in vigore successivamente alla data di sottoscrizione del presente Atto, ivi compresi i provvedimenti del Garante per la protezione dei dati personali emanati in attuazione della Normativa Applicabile;
“Sub-Responsabili”, le persone fisiche o giuridiche che prestano la propria attività in favore del Responsabile trattando Dati Personali appartenenti alla Società.
2. Obblighi del Responsabile
2.1 Finalità del trattamento
Il Responsabile, in qualità di Responsabile del Trattamento, si impegna a:
- trattare i Dati Personali al fine esclusivo di dare esecuzione al Rapporto e nei limiti di quanto disposto dallo stesso, attenendosi strettamente alle istruzioni impartite dalla Società;
- trattare esclusivamente quei Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Rapporto o per adempiere ad obblighi di legge;
- fare in modo che i propri dipendenti e Sub-Responsabili abbiano accesso a, e trattino esclusivamente quei, Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Rapporto o per adempiere ad obblighi di legge;
- trattare i dati personali in modo lecito, secondo correttezza ed in piena osservanza della Normativa Applicabile ed in particolare, ai sensi dell’art. 28, comma 3, mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato;
- informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi la Normativa Applicabile o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati;
- verificare che i Dati Personali siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti e trattati, nonché verificare, ove possibile, che essi siano esatti, impegnandosi ad aggiornarli, emendarli o correggerli su richiesta della Società.
Fermo restando quanto previsto al precedente paragrafo (iv), il Responsabile, in qualità di Responsabile, si impegna inoltre ad assistere il Titolare, laddove necessario:
- nel garantire il rispetto della sicurezza del trattamento ai sensi dell’art. 32 del Regolamento;
- nella notifica di un Data Breach all’autorità di controllo ai sensi dell’art. 33 del Regolamento;
- nella comunicazione di un Data Breach all’interessato ai sensi dell’art. 34 del Regolamento;
- nella realizzazione di una Valutazione d’impatto sulla protezione dei dati e nell’eventuale Consultazione preventiva dell’autorità di controllo ai sensi degli artt. 35 e 36 del Regolamento.
2.2 Misure di sicurezza
Il Responsabile si impegna ad implementare correttamente le Misure di Sicurezza ed ogni altra misura di sicurezza prescritta dalla Normativa Applicabile.
Il Responsabile, anche sulla base delle nuove soluzioni rese disponibili dal progresso tecnico e tecnologico, tenendo in considerazione la natura dei dati e le caratteristiche dei trattamenti da effettuare, si impegna ad implementare le Misure di Sicurezza in modo da minimizzare possibili rischi di distruzione o perdita volontaria o accidentale dei Dati Personali, accesso non autorizzato o trattamento in violazione di legge.
Il Responsabile si impegna a conservare i dati personali separatamente rispetto ad altri dati trattati per conto proprio o di terze parti.
Il Responsabile dovrà fornire alla Società, a semplice richiesta della stessa, un report contenente una descrizione analitica delle misure fisiche, tecniche ed organizzative implementate nei locali ove si svolgono le operazioni di trattamento.
In caso di Data Breach, nonché di ogni altra circostanza che possa comportare una qualsiasi violazione della Normativa Applicabile, il Responsabile dovrà informare dettagliatamente per iscritto e senza ritardo la Società, fornendo ogni informazione utile per ricostruire l’accaduto nonché, d’intesa con la Società, dovrà attivarsi immediatamente per implementare ogni necessaria misura per minimizzare i rischi di qualsivoglia natura. In ogni caso, il Responsabile dovrà tenere un registro dei Data Breach delle possibili violazioni della Normativa Applicabile, che dovrà essere esibito alla Società a semplice richiesta di quest’ultima. Resta fermo quanto previsto al paragrafo 2.1 che precede.
Il Responsabile assicura e garantisce che l’esecuzione dei servizi o il lavoro nelle sedi private o nei contesti assimilabili al “telelavoro” sono conformi alle Misure di Sicurezza.
2.3 Incaricati (ove applicabile)
Il Responsabile si impegna a:
- istruire gli Incaricati preposti alle operazioni di trattamento, scegliendoli tra i propri dipendenti che per esperienza, capacità e formazione sono idonei ad assicurare il rispetto della Normativa Applicabile e a garantire che questi ultimi si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- impartire agli Incaricati dettagliate istruzioni operative concernenti le modalità di esecuzione dei trattamenti loro affidati nonché vigilare scrupolosamente sull’esatto adempimento, da parte degli stessi, delle istruzioni ricevute;
- implementare misure fisiche, tecniche ed organizzative atte a far sì che ciascun Incaricato possa avere accesso esclusivamente ai Dati Personali che possono essere trattati in base al proprio profilo di autorizzazione;
- redigere ed aggiornare una lista nominativa degli incaricati, verificando annualmente l’ambito del trattamento consentito ai medesimi;
- provvedere alla formazione degli Incaricati con riferimento alla Normativa Applicabile in materia di protezione dei dati personali, anche per mezzo di appositi corsi di formazione ed aggiornamento.
2.4 Diritti degli interessati
Il Responsabile dovrà garantire l’effettivo esercizio dei diritti riconosciuti agli Interessati dalla Normativa Applicabile, impegnandosi a notificare per iscritto e senza ritardo alla Società qualsivoglia richiesta di esercizio di tali diritti formulata da uno degli Interessati, allegando altresì una copia della richiesta.
Il Responsabile si impegna a collaborare con la Società per garantire che le richieste di esercizio dei diritti suddetti, incluse le richieste di opposizione al trattamento, siano soddisfatte entro i tempi e secondo le modalità di legge e, più in generale, per assicurare il pieno rispetto della Normativa Applicabile.
2.5 Comunicazione e trasferimento all’estero dei dati
Il Responsabile non potrà esercitare un controllo autonomo sui Dati Personali e si impegna ad astenersi dal diffondere o comunicare detti dati a terze parti, salvo se espressamente previsto dal Rapporto o autorizzato dalla Società per iscritto, ed in ogni caso nel rispetto di quanto previsto dall’informativa resa agli interessati e dei consensi da questi eventualmente espressi in relazione alle diverse finalità di trattamento.
Il Responsabile si impegna a non trasferire i dati personali al di fuori dell’Unione Europea senza il previo consenso scritto della Società. Il consenso potrà essere negato dalla Società qualora non via una sufficiente base legale per effettuare detto trasferimento. Il Responsabile dovrà comunque attenersi strettamente alle indicazioni impartite dalla Società per effettuare il trasferimento.
2.6 Sub-fornitura (ove applicabile)
Qualora il Responsabile intenda affidare ad un Sub- Responsabile in tutto o in parte l’esecuzione del Rapporto, e ciò sia consentito dal Rapporto o autorizzato dalla Società, egli dovrà previamente comunicare a quest’ultima se il proprio Sub- Responsabile dovrà trattare Dati Personali di cui la Società è Titolare.
In tal caso, la Società potrà i) direttamente nominare il Sub- Responsabile autorizzato quale proprio Responsabile del trattamento, ii) potrà autorizzare il Responsabile a nominare il Sub- Responsabile con un atto di nomina sostanzialmente equivalente al presente Atto. Fermo restando che la Società potrà esercitare il proprio diritto di opposizione alla nomina del Sub- Responsabile ai sensi dell’articolo 28 del Regolamento.
Il Responsabile riconosce ed accetta di conservare l’intera responsabilità nei confronti della Società dell’adempimento degli obblighi del Sub-Responsabile, qualora questi ometta di adempiere i propri obblighi ai sensi dell’Atto.
3. Audit
Il Responsabile dovrà riferire periodicamente alla Società circa lo svolgimento della propria attività e l’osservanza degli adempimenti richiesti dalla Normativa Applicabile.
Il Responsabile prende atto del fatto che, in osservanza dell’art. 28 del Regolamento, la Società valuterà periodicamente le attività svolte, al fine di verificare il rispetto delle misure organizzative, tecniche e di sicurezza prescritte dalla Normativa Applicabile o impartite dalla Società in qualità di Titolare.
La Società avrà inoltre il diritto di accedere ad uffici, computer e altri sistemi informatici/documenti del Responsabile dei propri Sub-Responsabili, laddove ciò sia ritenuto necessario per verificare che il Responsabile o il proprio Sub-Responsabile agisca in osservanza degli obblighi pattuiti in virtù del presente Atto. In caso di accesso ai locali del Responsabile o del Sub- Responsabile da parte della Società, questa sarà tenuta ad osservare un idoneo preavviso.
4. Dichiarazioni e garanzie del Responsabile
Il Responsabile dichiara e garantisce di essere a conoscenza degli obblighi assunti ai sensi della Normativa Applicabile per effetto dell’Atto, nonché di avere la necessaria esperienza, capacità e professionalità per svolgere tale funzione.
Il Responsabile dichiara che non ha individuato la figura del Responsabile della protezione dei dati (RPD o DPO), in quanto non è soggetto all’obbligo di designazione previsto dall’art. 37 del Regolamento e conferma la presente dichiarazione a mezzo della sottoscrizione del presente atto.
5. Corrispettivo
Fermo restando quanto previsto dal Rapporto, il Responsabile svolgerà la propria attività di Responsabile senza alcun corrispettivo, salvo diverso accordo scritto con la Società.
6. Manleva
Il Responsabile si obbliga manlevare e tenere indenne la Società da ogni danno, costo, onere e spesa, incluse eventuali spese legali, derivanti da (i) eventuali sanzioni pecuniarie comminate dal Garante per violazioni del presente Atto o della Normativa Applicabile imputabili al Responsabile e/o ad uno o più dei propri Sub- Responsabili e/o (ii) in relazione a domande giudiziali di risarcimento del danno azionate da parte degli Interessati per violazioni del presente Atto o della Normativa Applicabile imputabili al Responsabile e/o ad uno o più dei propri Sub-Responsabili.
Qualora venissero avviati procedimenti giudiziari o amministrativi in relazione al trattamento dei Dati Personali svolti in base al presente Atto, le parti si impegnano a collaborare ed a fornire reciprocamente tutta l’assistenza necessaria.
7. Durata
Il presente Atto produce i suoi effetti a partire dalla data di assegnazione dell’incarico di cui al Rapporto e rimarrà in vigore fino alla data di cessazione dell’incarico stesso, indipendentemente dalla causa di detta cessazione.
In qualunque caso di cessazione del Rapporto, il Responsabile provvederà restituire alla Società i Dati Personali in proprio possesso, procedendo alla cancellazione di eventuali copie degli stessi, fatti salvi eventuali obblighi di conservazione derivanti da obblighi di legge in capo al Responsabile. Su richiesta ed a discrezione totale della Società, il Responsabile dovrà in alternativa cancellare i Dati Personali in proprio possesso, dandone conferma scritta alla Società senza ritardo, salvo che la conservazione dei dati sia richiesta dalla legge.
***
Come indicato nel disclaimer di accompagnamento del presente documento, confermando per iscritto la ricezione della e-mail contenente il presente incarico data protection o procedendo direttamente con l’attività di consulenza che è richiesta al Responsabile in qualità di consulente del Titolare, il Responsabile accetta la presente Nomina e dichiara di aver letto e compreso tutte le istruzioni in essa contenute.
ALLEGATO 1
Descrizione del trattamento
Il Data Protection Officer del Titolare
La seguente persona è stata nominata Data Protection Officer della Società:
dpo@dentalpro.it
Soggetti Interessati
I dati personali trattati riguardano le seguenti categorie di soggetti interessati:
- pazienti del Titolare
Categorie di dati
I dati personali trattati riguardano le seguenti categorie di dati:
- dati anagrafici;
- dati di contatto (es. numero di telefono, indirizzo di posta elettronica);
- tutti gli ulteriori dati semplici eventualmente contenuti nella cartella clinica.
Categorie particolari di dati/dati relativi a condanne penali e reati (se del caso)
Saranno oggetto di trattamento le seguenti categorie di dati:
- dati biometrici al fine di identificare una persona in modo univoco;
- dati relativi alla salute o la vita sessuale o l’orientamento sessuale;
- tutti gli ulteriori dati appartenenti a categorie particolari eventualmente contenuti nella cartella clinica.
Operazioni di trattamento
I dati personali trattati rientrano nelle seguenti attività base di trattamento:
- Oggetto del trattamento: L’oggetto del trattamento è l’esecuzione di servizi di consulenza medica e di pareri tecnici esterni da parte del personale medico esperto, che possono sorgere da un reclamo di un paziente o in prospettiva di un possibile contenzioso.
- Natura e finalità del trattamento: La natura e finalità del trattamento è l’esecuzione del Rapporto fra le parti.