Privacy

Il presente Accordo viene stipulato tra:

Cerba HealthCare Italia S.r.l. con sede in Guidonia Montecelio (RM), Via Roma n. 190/A – 00012, codice fiscale e numero di iscrizione al registro delle imprese 02568390583, in persona del legale rappresentante, pro tempore   munito dei necessari poteri di firma (di seguito “Cerba”);
e

le società controllate che fanno parte del Gruppo Cerba indicate nell’Allegato 2, in persona del legale rappresentante pro tempore, munito dei necessari poteri di firma per ciascuna di esse (di seguito le “Società Controllate”);

qui di seguito congiuntamente denominate “Parti” o “Contitolari” o le “Società del Gruppo Cerba”.

PREMESSE

1. Le Società Controllate sono titolari delle autorizzazioni e gestiscono strutture sanitarie quali: laboratori, punti di prelievo di analisi cliniche, ambulatori o poliambulatori specialistici
2. Cerba HealthCare Italia S.r.l. è la società capogruppo italiana che svolge una serie di attività (“Servizi”) per le Società Controllate;
3. Nell’espletamento delle loro attività, Le Parti hanno sottoscritto un contratto di servizi (di seguito solo “Contratto”) stipulato in data 23/01/2020 e in essere tra le parti;
4. l’esecuzione di tale contratto comporta in capo alle Parti la determinazione congiunta delle finalità e dei mezzi del trattamento di dati personali per quanto riguarda la gestione delle attività di marketing, profilazione e rilevazione della qualità dei servizi percepita dagli utenti (c.d. “Customer satisfaction").
5. le Parti hanno stabilito che i dati personali (di seguito "dati") trattati per finalità di marketing in ragione del Contratto verranno gestiti tra le Parti, conformemente all'art. 26 Regolamento EU 2016/679, in regime di titolarità congiunta (di seguito "Contitolarità") o mediante autonome decisioni delle Parti in relazione alle finalità e alle modalità di trattamento dei dati raccolti, in ogni caso nel rispetto delle disposizioni di seguito indicate.

Tanto premesso, le Parti convengono quanto segue 

1. PREMESSE

Le premesse e gli allegati al presente Accordo costituiscono parte integrante e sostanziale dello stesso. Il presente Accordo, inoltre, costituisce parte sostanziale ed integrante del Contratto sopra indicato.

2. DEFINIZIONI

Ai fini del presente Accordo, i termini e le espressioni definiti avranno il seguente significato convenzionalmente attribuito:

1. “Accordo di Contitolarità” indica il presente Accordo di Contitolarità del Trattamento dei dati personali ai sensi dell’art. 26 del Reg. UE 2016/679 (di seguito GDPR);
2. “Autorità di controllo” indica l’Autorità Garante per la protezione dei dati personali;
3. “Contratto" indica il contratto di servizi stipulato in data 23/01/2020 e in essere tra le parti;
4. "Leggi sulla protezione dei dati" indica tutte le leggi e i regolamenti, inclusi ma non limitati al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 in materia di protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione dei dati ( c.d. GDPR) e al Codice in materia di protezione dei dati personali ex D.lgs. 196/2003 e successive modifiche (Codice Privacy) nonché provvedimenti di volta in volta in vigore che sono applicabili al Trattamento dei dati personali effettuato in forza del Contratto;
5. “Informativa” indica il documento informativo contenente tutte le informazioni di cui agli Artt. 13 e 14 del GDPR;
6. “Responsabile del Trattamento dei dati personali” indica il soggetto che tratta dati personali per conto del Titolare del Trattamento dei dati personali ai sensi dell’Art. 28 del GDPR;
7. “DPO" indica il Responsabile della Protezione dei dati ai sensi degli artt. 37 e ss. del GDPR;
8. "Richiesta dell’interessato" indica la richiesta presentata dall’interessato al Titolare o al Responsabile mediante la quale lo stesso esercita i propri diritti riconosciuti dalle Leggi sulla protezione dei dati (art. 12 e seg. del GDPR);
9. “Sub-responsabile" indica il soggetto che su nomina ed incarico del Responsabile del Trattamento dei dati personali, tratta i dati oggetto del presente contratto;
10. "Titolare del Trattamento dei dati" indica il soggetto che determina le finalità e i mezzi di Trattamento dei dati personali;
11. “Trasferimento dati verso Paesi Terzi” indica il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi non appartenenti all’UE o allo Spazio Economico Europeo – SEE (Norvegia, Islanda, Liechtenstein);
12. “Violazione dei dati personali” indica una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o trattati in altro modo.

3. TRATTAMENTO DEI DATI PERSONALI

3.1 Conformità alle Leggi sulla protezione dei dati. Le Parti si impegnano a trattare i dati personali in conformità al presente Accordo e alle Leggi sulla protezione dei dati applicabili.
Nel caso in cui Responsabile ritenga che il trattamento di dati non sia conforme alle Leggi sulla protezione dei dati applicabili, ciascun Contitolare dovrà informare immediatamente l’altro Contitolare.

3.2 L'Allegato 1 al presente Accordo, in conformità alle disposizioni di cui all’Art. 26 del RGPD o a disposizioni equivalenti di qualsiasi altra Legge sulla protezione dei dati applicabile, specifica le tipologie di trattamento di cui le Parti si intendono Contitolari.

3.3 Riservatezza. Le Parti riconoscono espressamente che i dati personali trattati ai fini dell’esecuzione del Contratto hanno natura riservata e confidenziale. Pertanto, le parti si impegnano ad utilizzare i dati personali esclusivamente ai fini dell’esecuzione del Contratto e nei limiti del presente Accordo, nonché a mantenere i dati personali strettamente confidenziali e a non divulgarli o trasferirli, in tutto o in parte, in qualsiasi modo, salva previa comunicazione all’altra Parte o salvo obbligo di legge.

4. RUOLO DELLE PARTI NEL TRATTAMENTO DEI DATI

4.1 In relazione ai dati personali trattati per finalità di marketing ai fini dell’esecuzione del Contratto, le Società Controllate e Cerba agiscono in qualità di Contitolari del trattamento.

4.2 Ogni determinazione delle finalità e dei mezzi del trattamento dei dati, sulla scorta di quanto indicato all’Allegato 1, viene effettuata dalle Parti in rapporto di Contitolarità. L'individuazione della tipologia di dati degli interessati, nonché le relative scelte inerenti al trattamento degli stessi è effettuata dalle Parti in rapporto di Contitolarità.  Laddove una Parte, in violazione del presente Accordo e delle Leggi sulla protezione dei dati applicabili, determini autonomamente le finalità e i mezzi di qualsiasi attività di trattamento di cui al Contratto, verrà considerato, in relazione a tale attività di trattamento, quale titolare autonomo del trattamento dei dati.

5. RIPARTIZIONE DELLE FUNZIONI DELLE PARTI

5.1 In conformità a quanto stabilito dall'art. 26 Regolamento EU 2016/679, le Parti, sulla scorta di quanto indicato all’Allegato 1 del presente Accordo, disciplinano come segue le rispettive funzioni e responsabilità.

5.2 Raccolta dei dati. La raccolta di dati degli interessati verrà svolta da ciascuna delle Società Controllate, obbligandosi la stessa a condividere le prove di avvenuta presa visione dell’informativa e prestazione del consenso (ove previsti) da parte degli Interessati in conformità alle disposizioni del Regolamento EU 2016/679. La Parte che si occupa della raccolta dei dati, li inserirà su piattaforma comune.

5.3 Misure tecniche ed organizzative. La determinazione delle misure tecnico-organizzative (previa analisi dei rischi) e, ove necessario, la valutazione d'impatto sulla protezione, la revisione e l'aggiornamento dei dati sarà effettuata congiuntamente dalle Parti.
La gestione e la tenuta della documentazione relativa all'adozione delle misure tecnico-organizzative, quale prova da fornire all'Autorità di Controllo, sarà effettuata autonomamente dalle Parti.

5.4 Consultazione Preventiva. L’eventuale consultazione preventiva dell'Autorità di controllo e la trasmissione dei dati necessari alla medesima sarà effettuata dalle Parti in rapporto di Contitolarità.

5.5 DPO. La nomina di un Responsabile per la Protezione dei Dati (DPO - Data Protection Officer) e relativi oneri sarà effettuata autonomamente dalle Parti, in riferimento sia alle attività svolte in base al presente Accordo, sia in relazione alle singole attività di trattamento svolte in autonomia.

5.6 Responsabili del trattamento. L'individuazione e la nomina dei Responsabili del trattamento, dei Sub responsabili sono effettuate autonomamente dalle Parti e i relativi dati sono conservati presso le medesime, fatti salvi gli obblighi di informazione reciproca derivanti dalla corretta esecuzione del presente Accordo e/o del Contratto.
Qualora le Parti ricorrano congiuntamente ad un Responsabile del trattamento ex art. 28 del GDPR, esse predisporranno l’Atto di nomina del responsabile in via congiunta. L’Atto sottoscritto sarà conservato presso la sede di Cerba.
Responsabilità. Ciascuna Parte sarà direttamente responsabile verso l’altra Parte per gli atti, omissioni, inadempimenti e negligenze dei Responsabili o Sub-responsabili dallo stesso individuati.
Manleva. Pertanto, ciascuna Parte sarà tenuta a mantenere l’altra Parte indenne e manlevata da ogni e qualsivoglia danno, costo, sanzione o pregiudizio che quest’ultima dovesse subire a causa della violazione da parte del Sub-responsabile degli obblighi relativi al trattamento dei dati personali derivanti dalle Leggi sulla protezione dei dati, dal presente Atto di nomina o dagli atti di nomina del Subresponsabile.

5.7 Registri delle attività di trattamento. La gestione e la tenuta del Registro delle attività di trattamento, quale prova da fornire all'Autorità di controllo, rimane a carico di ciascuna Parte.

5.8 Violazione dei dati personali.  Le Parti sono tenute ad implementare politiche e procedure di sicurezza per la gestione degli incidenti al fine di garantire la corretta esecuzione degli adempimenti richiesti dal GDPR o da disposizioni equivalenti di altre Leggi sulla protezione dei dati applicabili in caso di violazioni dei dati personali. Comunicazione tra le Parti. La Parte presso cui si verifica una violazione di dati personali oggetto del trattamento di cui al presente Accordo informerà immediatamente l’altra Parte della violazione. Notifica all’Autorità. La notifica all'Autorità di controllo in caso di una violazione dei dati personali trattati in regime di Contitolarità sarà effettuata da Cerba.
Comunicazione agli interessati. La comunicazione all'interessato in caso di una violazione dei dati personali in regime di Contitolarità sarà effettuata da Cerba.
Rimedio. Tenendo conto della natura della violazione dei dati personali e del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche coinvolte, le Parti si impegnano ad operare tutti gli sforzi necessari per identificare e porre rimedio alla causa della violazione dei dati personali, per mitigare i rischi per i diritti e le libertà delle persone fisiche coinvolte, nel rispetto delle Leggi sulla protezione dei dati relative alle violazioni dei dati personali.
Tali stessi rimedi dovranno posti in essere anche nel caso in cui la Violazione dei dati personali non si sia ancora verificata ma vi è il fondato rischio che si verifichi.
Costi. I costi derivanti dalle eventuali attività posta in essere per la gestione della violazione saranno tenuti dalla Parte cui è imputabile la violazione dei dati o dai suoi Responsabili o Sub-responsabili.

5.9 Richieste degli interessati. Le Parti si impegnano a soddisfare l’obbligo di dare seguito alle richieste effettuate da parte degli interessati per l’esercizio dei diritti ad essi riconosciuti dal GDPR o da disposizioni equivalenti di altre Leggi sulla protezione dei dati applicabili.
Gestione delle richieste. L’obbligo di risposta derivante dalle richieste di esercizio dei diritti dell'interessato relativamente a un trattamento di dati svolto in regime di contitolarità sarà adempiuto da Cerba.

5.10 Doveri di informazione. Il contenuto essenziale dell'Accordo di Contitolarità sarà messo a disposizione degli Interessati da Cerba.

5.11 Informativa. L'obbligo di fornire l’informativa ai sensi degli artt. 13 e 14 del GDPR al momento della raccolta dei dati sarà adempiuto dalle Società controllate nel momento in cui il paziente accede alla struttura sanitaria e da Cerba attraverso la pubblicazione dell’informativa sul sito cerbahealthcare.it

5.12 Raccolta del consenso. L'obbligo di dimostrazione del consenso inerente alle attività di cui al Servizio sarà adempiuto dalle Società controllate nel momento in cui il paziente accede alla struttura sanitaria e da Cerba attraverso il sito cerbahealthcare.it

5.13 Punto di contatto. Il Punto di Contatto cui potranno rivolgersi gli Interessati per qualsiasi questione relativa alla protezione dei dati, che consegua o sia in qualche modo connessa al presente Accordo, verrà fornito da Cerba che metterà a disposizione di tutte le altre Società del Gruppo il punto di contatto privacy@cerbahealthcare.it per la gestione congiunta delle richieste pervenute. Resta ferma la possibilità per gli interessati di avanzare richieste a tutti i Contitolari. Le Parti, pertanto, si impegnano alla massima collaborazione affinché sia fornito riscontro agli interessati, entro 30 giorni dalla richiesta.

6. RIPARTIZIONE INTERNA DELLE RESPONSABILITÀ

A prescindere da quanto previsto dalla Legge in ordine alle responsabilità di natura penale, amministrativa o civile verso terzi di cui al Regolamento EU 2016/679 e al D.lgs. 196/2003 e loro successive modifiche e/o integrazioni, le Parti concordano che, nel loro rapporto interne, ciascuna di esse potrà essere ritenuta responsabile unicamente in relazione alle attività rientranti nel proprio ambito di competenza definito dalle attribuzioni e dagli adempimenti previsti nel Contratto e in conformità alla ripartizione interna delle rispettive funzioni, ruoli, obblighi e responsabilità previsti nel presente Accordo.

7. PERSONALE DELLE PARTI

7.1 Riservatezza. Le Parti garantiscono che il personale impegnato nel trattamento dei dati personali ai sensi del Contratto è informato circa la natura riservata di tali dati personali e ha ricevuto una formazione adeguata e delle istruzioni operative specifiche sul corretto trattamento dei dati. Le Parti garantiscono altresì di aver sottoscritto accordi di riservatezza con il personale impegnato nel trattamento dei dati personali di cui al Contratto. Resta inteso che gli obblighi di cui al presente articolo restano in vigore anche dopo la scadenza o la cessazione per qualsivoglia motivo del rapporto di lavoro. Le Parti adotteranno ogni ragionevole misura per garantire l'affidabilità del personale impegnato nel trattamento dei dati personali.

7.2 Limitazione dell'accesso. Le Parti si impegnano a limitare l'accesso ai dati personali al solo personale che esegue le attività necessarie ai fini dell’esecuzione del Contratto.

8. TRASFERIMENTO E TRATTAMENTO FUORI DALL’AREA ECONOMICA EUROPEA

Le Parti dichiarano che non trasferiscono e trattano i dati personali trattati in regime di contitolarità fuori dall’ Area economica europea (AEE).

9. CERTIFICAZIONI E CODICI DI CONDOTTA

Nell'ottica del puntuale rispetto dei principi dettati dal Regolamento EU 2016/679, le Parti si impegnano a valutare congiuntamente l'adozione di codici di condotta (ex art. 40) e meccanismi di certificazione (ex art. 42) quali best practice, non appena emanati dalle associazioni/organizzazioni che rappresentano categorie di Titolari del trattamento o di Responsabili del trattamento e dagli organismi di certificazione.

10. DURATA DELL’ACCORDO

La durata del presente Accordo coincide con quella prevista dal Contratto, salvo il caso in cui le disposizioni del presente documento comportino ulteriori obblighi che esigano il prolungamento dell'attività e comunque sino al completamento del trattamento dei dati e salvi specifici obblighi di legge.

11. CESSAZIONE DEL RAPPORTO DI CONTITOLARITÀ

Al termine delle operazioni di trattamento di dati di competenza di ogni singola Parte, nonché all'atto della cessazione - per qualsiasi causa - del predetto trattamento da parte di una della Parti, su richiesta e a discrezione dell'altra Parte, il Contitolare recedente sarà tenuto a:

1. Restituire all’altra Parte i dati oggetto del trattamento;
2. Provvedere all'integrale distruzione dei dati, ad eccezione dei casi in cui la conservazione degli stessi sia richiesta da norme di legge od altri obblighi (es. fiscali, contabili);
3. Rilasciare apposita dichiarazione per iscritto che attesti l'inesistenza di copia di dati trattati e/o di altre informazioni inerenti al trattamento dei dati. L'altra Parte si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della suddetta dichiarazione.

12. LEGGE APPLICABILE E CONTROVERSIE

12.1 II presente Accordo è regolato dalla legge italiana, con esclusione delle norme di conflitto tra leggi. Per qualsivoglia controversia derivante dall'esecuzione o dall'interpretazione del presente Accordo, sarà esclusivamente competente i giudici del Foro di Roma.

13. CONTRATTO NEGOZIATO

Ai fini degli artt. 1341-1342 cod. civ., le Parti si danno atto che il presente Accordo è stato negoziato tra le Parti nella sua interezza.
Ultimo aggiornamento 6-05-2024

ALLEGATO 1 – Dettagli sul trattamento dei dati

L’Allegato 1 comprende le informazioni relative al trattamento dei dati personali richieste dall’articolo 26 del GDPR.

ALLEGATO 2 – Elenco delle società

L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.

Ultimo aggiornamento 6-05-2024

Il presente Accordo viene stipulato in data 01/2024 (“data effettiva") da e tra:

Cerba HealthCare Italia S.r.l. con sede in Guidonia Montecelio (RM), Via Roma n. 190/A – 00012, codice fiscale e numero di iscrizione al registro delle imprese 02568390583, in persona del legale rappresentante, pro tempore, munito dei necessari poteri di firma (di seguito “Cerba”);

e

le società controllate che fanno parte del Gruppo Cerba indicate nell’Allegato 2, in persona del legale rappresentante pro tempore, munito dei necessari poteri di firma per ciascuna di esse (di seguito le “Società Controllate”);

qui di seguito congiuntamente denominate “Parti” o “Contitolari” o le “Società del Gruppo Cerba”.

PREMESSE

1. Le Società del Gruppo Cerba sono titolari delle autorizzazioni e gestiscono strutture sanitarie quali: laboratori, punti di prelievo di analisi cliniche, ambulatori o poliambulatori specialistici.
2. Nell’espletamento delle loro attività, le Parti intendono offrire ai pazienti un servizio gratuito (di seguito il “Servizio”) che consente ai pazienti maggiorenni la costituzione e la consultazione di un portale (cd. “Portale INCERBA”) dove archiviare i propri documenti clinici e amministrativi emessi dalle strutture afferenti alle Società del Gruppo Cerba.
   Il paziente, inoltre, potrà caricare direttamente documenti sanitari propri anche afferenti a strutture sanitarie esterne.
   Lo scopo del Servizio è quello di rendere più efficienti i processi di prevenzione, diagnosi, cura, riabilitazione e assistenza al paziente all’interno delle strutture sanitarie del Gruppo Cerba e di favorire la cooperazione tra i professionisti sanitari coinvolti nel processo di cura.
   In tale ambito, inoltre, Cerba intende offrire ai Pazienti la possibilità di condividere la documentazione sanitaria archiviata con i medici coinvolti nel processo di cura presso le strutture gestite dalle Società del Gruppo Cerba e/o con soggetti terzi (es. medico curante) specificamente indicati dal paziente stesso.
   Sempre nell’ambito di tale servizio, è offerta al paziente la possibilità di ottenere una rappresentazione grafica a scopo non diagnostico, con strumenti digitali, della propria storia clinica, ossia della successione storica dei risultati diagnostici che siano stati emessi dalle strutture afferenti alle Società del Gruppo Cerba.
   Infine, tramite il Portale, il Paziente può prenotare, conservare, modificare e disdire in modalità telematica le sue prenotazioni di prestazioni sanitarie presso le strutture del Gruppo Cerba.
3. L’esecuzione di tale Servizio comporta in capo alle Parti la determinazione congiunta delle finalità e dei mezzi del trattamento di dati personali per quanto riguarda la gestione delle specifiche attività legate al Servizio.
4. Si rende pertanto necessaria la conclusione del presente “Accordo di Contitolarità sul Trattamento dei Dati Personali ai sensi dell’art. 26 del Regolamento EU 2016/679” (a seguire “Accordo”), con cui le Parti stabiliscono che i dati personali comuni e particolari (di seguito "dati") trattati per le specifiche finalità del Servizio verranno gestiti tra di loro, in regime di titolarità congiunta (di seguito "Contitolarità”) conformemente a quanto previsto dall'art. 26 Regolamento EU 2016/679 e dalle “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” emanate dall’EDPB (European Data Protection Board) e nel rispetto delle disposizioni di seguito indicate.

Tanto premesso, le Parti convengono quanto segue 

1. PREMESSE

Le premesse e gli allegati al presente Accordo costituiscono parte integrante e sostanziale dello stesso.

2. DEFINIZIONI

Ai fini del presente Accordo, i termini e le espressioni definiti avranno il seguente significato convenzionalmente attribuito:

1. “Accordo di Contitolarità” indica il presente Accordo di Contitolarità del Trattamento dei dati personali ai sensi dell’art. 26 del Reg. UE 2016/679 (di seguito GDPR);
2. “Autorità di controllo” indica l’Autorità Garante per la protezione dei dati personali;
3. “Contitolari del Trattamento dei dati” sono due o più titolari del trattamento che determinano congiuntamente le finalità e i mezzi del trattamento;
4. "Leggi sulla protezione dei dati" indicano tutte le leggi e i regolamenti, inclusi ma non limitati al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 in materia di protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione dei dati ( c.d. GDPR) e al Codice in materia di protezione dei dati personali ex D.lgs. 196/2003 e successive modifiche (Codice Privacy) nonché provvedimenti di volta in volta in vigore che sono applicabili al Trattamento dei dati personali effettuato in forza dell’Accordo;
5. “Informativa” indica il documento informativo contenente tutte le informazioni di cui agli Artt. 13 e 14 del GDPR;
6. “Responsabile del Trattamento dei dati personali” indica il soggetto che tratta dati personali per conto del Titolare del Trattamento dei dati personali ai sensi dell’Art. 28 del GDPR;
7. “DPO" indica il Responsabile della Protezione dei dati ai sensi degli artt. 37 e ss. del GDPR;
8. "Richiesta dell’interessato" indica la richiesta presentata dall’interessato al Titolare o al Responsabile mediante la quale lo stesso esercita i propri diritti riconosciuti dalle Leggi sulla protezione dei dati (art.12 e seg. del GDPR);
9. “Sub-responsabile" indica il soggetto che su nomina ed incarico del Responsabile del Trattamento dei dati personali, tratta i dati oggetto del presente Accordo;
10. "Titolare del Trattamento dei dati" indica il soggetto che determina le finalità e i mezzi di Trattamento dei dati personali;
11. “Trasferimento dati verso Paesi Terzi” indica il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi non appartenenti all’UE o allo Spazio Economico Europeo – SEE (Norvegia, Islanda, Liechtenstein);
12. “Violazione dei dati personali” indica una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o trattati in altro modo.

3. TRATTAMENTO DEI DATI PERSONALI

3.1 Conformità alle Leggi sulla protezione dei dati. Le Parti si impegnano a trattare i dati personali in conformità al presente Accordo e alle Leggi sulla protezione dei dati applicabili.
Nel caso in cui uno dei Contitolari ritenga che il trattamento di dati non sia conforme alle Leggi sulla protezione dei dati applicabili, dovrà informare immediatamente gli altri Contitolari.

3.2 L'Allegato 1 al presente Accordo, in conformità alle disposizioni di cui all’Art. 26 del RGPD e alle altre disposizioni sulla protezione dei dati applicabili, specifica i dati, le finalità, gli interessati, le basi giuridiche e i mezzi del trattamento di cui le Parti si intendono Contitolari.

3.3 Riservatezza. Le Parti riconoscono espressamente che i dati personali trattati ai fini dell’esecuzione del Servizio hanno natura riservata e confidenziale. Pertanto, si impegnano ad utilizzare i dati personali esclusivamente ai fini dell’esecuzione del Servizio e nei limiti del presente Accordo, nonché a mantenere i dati personali strettamente confidenziali e a non divulgarli o trasferirli, in tutto o in parte, in qualsiasi modo, salva previa comunicazione all’altra Parte o salvo obbligo di legge. 

4. RUOLO DELLE PARTI NEL TRATTAMENTO DEI DATI

4.1 In relazione ai dati personali trattati nell’ambito del Servizio, le Società del Gruppo Cerba agiscono in qualità di Contitolari del trattamento.

4.2 Ogni determinazione delle finalità e dei mezzi del trattamento dei dati, sulla scorta di quanto indicato all’Allegato 1, viene effettuata dalle Parti in rapporto di Contitolarità. L'individuazione della tipologia di dati degli interessati, le finalità e i mezzi del trattamento nonché tutte le altre scelte inerenti al trattamento degli stessi è effettuata dalle Parti congiuntamente.
Laddove una Parte, in violazione del presente Accordo e delle Leggi sulla protezione dei dati applicabili, determini autonomamente le finalità e i mezzi di qualsiasi attività di trattamento di cui all’Accordo, verrà considerata, in relazione a tale attività di trattamento, quale titolare autonomo del trattamento dei dati.

5. RIPARTIZIONE DELLE FUNZIONI DELLE PARTI

5.1 In conformità a quanto stabilito dall'art. 26 Regolamento EU 2016/679, le Parti, sulla scorta di quanto indicato all’Allegato 1 del presente Accordo, disciplinano come segue le rispettive funzioni e responsabilità.

5.2 Raccolta dei dati. La raccolta di dati degli Interessati verrà svolta presso la struttura sanitaria di ciascun Titolare in conformità alle disposizioni del Regolamento EU 2016/679. Il caricamento dei dati nel Portale INCERBA potrà essere effettuato (i) direttamente dall’Interessato, dopo aver prestato il consenso alla costituzione del Portale accedendo al sito cerbahealthcare.it e (ii) da parte delle Società del Gruppo Cerba per quanto riguarda i soli documenti provenienti dalle proprie strutture, sulla base del consenso dell’Interessato.

5.3 Misure tecniche ed organizzative. La determinazione delle misure tecnico-organizzative (previa analisi dei rischi) e, ove necessario, la valutazione d'impatto sulla protezione, la revisione e l'aggiornamento dei dati sarà effettuata congiuntamente dalle Parti.  

La gestione e la tenuta della documentazione relativa all'adozione delle misure tecnico-organizzative, quale prova da fornire all'Autorità di Controllo, sarà effettuata autonomamente dalle Parti.

5.4 Consultazione Preventiva. L’eventuale consultazione preventiva dell'Autorità di controllo e la trasmissione dei dati necessari alla medesima sarà effettuata dalle Parti in rapporto di Contitolarità.

5.5 DPO. La nomina di un Responsabile per la Protezione dei Dati (DPO - Data Protection Officer) è stata effettuata autonomamente dalle Parti, in riferimento sia alle attività svolte in base al presente Accordo, sia in relazione alle singole attività di trattamento svolte in autonomia.

5.6 Responsabili del trattamento. L'individuazione e la nomina dei Responsabili del trattamento e dei Sub responsabili sono effettuate autonomamente dalle Parti e i relativi dati sono conservati presso le medesime, fatti salvi gli obblighi di informazione reciproca derivanti dalla corretta esecuzione del presente Accordo.  

Qualora le Parti ricorrano congiuntamente ad un Responsabile del trattamento ex art. 28 del GDPR, esse predisporranno l’Atto di nomina del responsabile in via congiunta. L’Atto sottoscritto sarà conservato presso la sede di Cerba.

Responsabilità. Ciascuna Parte sarà direttamente responsabile per gli atti, omissioni, inadempimenti e negligenze dei Responsabili o Sub-responsabili dalla stessa individuati.

Manleva. Pertanto, ciascuna Parte sarà tenuta a mantenere l’altra Parte indenne e manlevata da ogni e qualsivoglia danno, costo, sanzione o pregiudizio che quest’ultima dovesse subire a causa della violazione da parte di un Responsabile o Sub-responsabile degli obblighi relativi al trattamento dei dati personali derivanti dalle Leggi sulla protezione dei dati o dagli atti di nomina del Responsabile e del Subresponsabile.

5.7 Registri delle attività di trattamento. La gestione e la tenuta del Registro delle attività di trattamento, quale prova da fornire all'Autorità di controllo, rimane a carico di ciascuna Parte.

5.8 Violazione dei dati personali.  Le Parti sono tenute ad implementare politiche e procedure di sicurezza per la gestione degli incidenti al fine di garantire la corretta esecuzione degli adempimenti richiesti dal GDPR o da disposizioni equivalenti di altre Leggi sulla protezione dei dati applicabili in caso di violazioni dei dati personali.

Comunicazione tra le Parti. La Parte presso cui si verifica una violazione di dati personali oggetto del trattamento di cui al presente Accordo informerà immediatamente l’altra Parte della violazione. Notifica all’Autorità. La notifica all'Autorità di controllo in caso di una violazione dei dati personali trattati in regime di Contitolarità sarà effettuata da Cerba.

Comunicazione agli interessati. La comunicazione all'interessato in caso di una violazione dei dati personali sarà effettuata da Cerba.

Rimedio. Tenendo conto della natura della violazione dei dati personali e del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche coinvolte, le Parti si impegnano ad operare tutti gli sforzi necessari per identificare e porre rimedio alla causa della violazione dei dati personali, per mitigare i rischi per i diritti e le libertà delle persone fisiche coinvolte, nel rispetto delle Leggi sulla protezione dei dati relative alle violazioni dei dati personali.

Tali stessi rimedi dovranno essere posti in essere anche nel caso in cui la Violazione dei dati personali non si sia ancora verificata ma vi è il fondato rischio che si verifichi.

Costi. I costi derivanti dalle eventuali attività poste in essere per la gestione della violazione saranno tenuti dalla Parte cui è imputabile la violazione dei dati o dai suoi Responsabili o Sub-responsabili.

5.9 Richieste degli interessati. Le parti si impegnano a soddisfare l’obbligo di dare seguito alle richieste effettuate da parte degli interessati per l’esercizio dei diritti ad essi riconosciuti dal GDPR o da disposizioni equivalenti di altre Leggi sulla protezione dei dati applicabili.  

Gestione delle richieste. L’obbligo di risposta derivante dalle richieste di esercizio dei diritti dell'interessato relativamente a un trattamento di dati svolto in regime di contitolarità sarà adempiuto da Cerba.

5.10 Doveri di informazione. Il contenuto essenziale dell'Accordo di Contitolarità sarà messo a disposizione degli Interessati da Cerba.

5.11 Informativa. L'obbligo di fornire l’informativa ai sensi degli artt. 13 e 14 del GDPR al momento della raccolta dei dati sarà adempiuto da Cerba attraverso la pubblicazione dell’informativa sul sito cerbahealthcare.it.

5.12 Raccolta del consenso. L'obbligo di dimostrazione del consenso inerente alle attività di cui al Servizio sarà a carico di Cerba, con obbligo di condivisione tra le Parti.

5.13 Punto di contatto. Il Punto di Contatto cui potranno rivolgersi gli Interessati per qualsiasi questione relativa alla protezione dei dati, che consegua o sia in qualche modo connessa al presente Accordo, verrà fornito da Cerba che metterà a disposizione di tutte le altre Società del Gruppo il punto di contatto privacy@cerbahealthcare.it per la gestione congiunta delle richieste pervenute. Resta ferma la possibilità per gli interessati di avanzare richieste a tutti i Contitolari. Le Parti, pertanto, si impegnano alla massima collaborazione affinché sia fornito riscontro agli interessati, entro 30 giorni dalla richiesta.

6. RIPARTIZIONE INTERNA DELLE RESPONSABILITÀ

A prescindere da quanto previsto dalla Legge in ordine alle responsabilità di natura penale, amministrativa o civile verso terzi di cui al Regolamento EU 2016/679 e al D.lgs. 196/2003 e loro successive modifiche e/o integrazioni, le Parti concordano che, nel loro rapporto interno, ciascuna di esse potrà essere ritenuta responsabile unicamente in relazione alle attività rientranti nel proprio ambito di competenza e in conformità alla ripartizione interna delle rispettive funzioni, ruoli, obblighi e responsabilità previsti nel presente Accordo.

7. PERSONALE DELLE PARTI

7.1 Riservatezza. Le Parti garantiscono che il personale impegnato nel trattamento dei dati personali per le finalità del Servizio è informato circa la natura riservata di tali dati personali e ha ricevuto una formazione adeguata e delle istruzioni operative specifiche sul corretto trattamento dei dati e che è stato formalmente autorizzato al trattamento tramite appositi atti di nomina. Resta inteso che gli obblighi di cui al presente articolo restano in vigore anche dopo la scadenza o la cessazione per qualsivoglia motivo del rapporto di lavoro. Le Parti adotteranno ogni ragionevole misura per garantire l'affidabilità del personale impegnato nel trattamento dei dati personali.

7.2 Limitazione dell'accesso. Le Parti si impegnano a limitare l'accesso ai dati personali al solo personale che esegue le attività necessarie ai fini dell’esecuzione del Servizio.

8. TRASFERIMENTO E TRATTAMENTO FUORI DALL’UNIONE EUROPEA

Le Parti dichiarano che non trasferiscono e trattano i dati personali trattati in regime di contitolarità fuori dall’Unione Europea.

9. DURATA DELL’ACCORDO

La durata del presente Accordo coincide con quella del Servizio, salvo il caso in cui le disposizioni del presente documento comportino ulteriori obblighi che esigano il prolungamento dell'attività e comunque sino al completamento del trattamento dei dati e salvi specifici obblighi di legge.

10. CESSAZIONE DEL RAPPORTO DI CONTITOLARITÀ

Al termine delle operazioni di trattamento di dati di competenza di ogni singola Parte, nonché all'atto della cessazione - per qualsiasi causa - del predetto trattamento da parte di una della Parti, su richiesta e a discrezione dell'altra Parte, il Contitolare recedente sarà tenuto a:

1. Restituire all’altra Parte i dati oggetto del trattamento;
2. Provvedere all'integrale distruzione dei dati, ad eccezione dei casi in cui la conservazione degli stessi sia richiesta da norme di legge o altri obblighi (es. fiscali, contabili);
3. Rilasciare apposita dichiarazione per iscritto che attesti l'inesistenza di copia di dati trattati e/o di altre informazioni inerenti al trattamento dei dati. L'altra Parte si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della suddetta dichiarazione.

11. LEGGE APPLICABILE E CONTROVERSIE

11.1 II presente Accordo è regolato dalla legge italiana, con esclusione delle norme di conflitto tra leggi. Per qualsivoglia controversia derivante dall'esecuzione o dall'interpretazione del presente Accordo, sarà esclusivamente competente il Foro di Roma.

12. CONTRATTO NEGOZIATO

Ai fini degli artt. 1341-1342 cod. civ., le Parti si danno atto che il presente Accordo è stato negoziato tra le Parti nella sua interezza.
Ultimo aggiornamento 06/05/2024

ALLEGATO 1 – Dettagli sul trattamento dei dati

L’Allegato 1 comprende le informazioni relative al trattamento dei dati personali richieste dall’articolo 26 del GDPR.

ALLEGATO 2 – Elenco delle società

L’Allegato 2 comprende l’elenco delle Società Controllate che fanno parte delle “Società del Gruppo Cerba” in cui è stato attivato il portale INCERBA

L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e l’allineamento alle novità legislative.

Ultimo aggiornamento 20-05-2024