Domanda : Si richiede i seguenti chiarimenti ed informazioni: 1) In relazione al Capitolato Tecnico (allegato 5) art 8 “GESTIONE INFORMATIZZATA DEL SERVIZIO DI TESORERIA”” ove viene specificato “Il Tesoriere all’atto dell’assunzione dell’incarico, assume l’obbligo di adeguare il proprio sistema informatico, rendendolo compatibile con quello esistente presso le Aziende Sanitarie, per tutto ciò che riguarda la gestione informatizzata del servizio di tesoreria. …… In particolare il Tesoriere assicura il collegamento “on - line”, con spese a proprio carico, con le Aziende Sanitarie per il trasferimento degli ordinativi di pagamento e di riscossione, dei movimenti di riscossione e pagamento privi di relativi ordinativi, per verifiche e interrogazioni e per eventuali altri servizi di “home - banking” a cui le stesse fossero interessate” essendo la gestione informatizzata del servizio con l’uso di ordinativi di pagamento e di riscossione informatici firmati digitalmente e prevista dalla normativa vigente (SIOPE+), riteniamo che sia oramai obsoleto quanto previsto all’art 8. Si chiede conferma che il tesoriere è tenuto ad assicurare unicamente il collegamento nella tratta Bankit/Tesoriere e che resta invece a carico dell’Ente il collegamento nella tratta Ente/Bankit. 2) In relazione al Capitolato Tecnico (allegato 5) art 8.2 “ARCHIVIAZIONE DEGLI ORDINI ELETTRONICI” si ricorda che, non essendo disponibili al tesoriere i documenti da conservare a norma sottoscritti dall’Ente e non essendo il tesoriere un conservatore abilitato, il tesoriere provvederà unicamente alla conservazione dei documenti dallo stesso firmati. Inoltre sempre con riferimento al Capitolato Tecnico si chiede conferma che la realizzazione del collegamento informatico e l’adeguamento del servizio alle eventuali modifiche normative provvederà ciascuna parte per gli aspetti di propria competenza anche con riferimento alle spese da sostenere. 3) In relazione al Capitolato Tecnico (allegato 5) art 17 “IMPEGNO ALLA CONCESSIONE DI ANTICIPAZIONI” si chiede di inserire il dato 2020 in relazione alla AUSL Imola (presente nella presentazione durante la Consultazione Preliminare) 4) In relazione al Capitolato Tecnico (allegato 5) art 4.1 “POS” Si chiede conferma che il collegamento telematico con 187 macchine riscuotitrici automatiche o altri canali sia inteso per il tramite dei POS fisici attivi sul front-office (di proprietà ente o della società proprietaria delle macchinette riscuotitrici) e che l’eventuale integrazione degli stessi sul Nodo con PagoPa resterà con costi di attivazione e gestione a carico dell’ASUR ovvero a costi da concordare tra le parti 5) In relazione all’art.7 (sub 2) dello schema di convenzione ed in particolare alla possibilità dell’Ente di rinnovare la convenzione per ulteriori 12 mesi, si chiede conferma che tale facoltà di rinnovo sia subordinata all’accettazione da parte del tesoriere e pertanto che non si tratti di atto unilatere dell’Ente e quindi di un obbligo per il tesoriere 6) In relazione all’art.29 dello schema di convenzione “TRATTAMENTO DEI DATI, CONSENSO AL TRATTAMENTO” è previsto che l’Ente nomini il Tesoriere quale responsabile esterno del trattamento dei dati nell’esecuzione delle prestazioni oggetto della convenzione. Si chiede conferma che, in caso di aggiudicazione al nostro Istituto, il Vostro spettabile Ente sottoscriverà il DPA standard della Banca e relativo allegato utilizzato per operazioni del tipo (allegati) 7) Si richiedono le seguenti informazioni: INFORMAZIONI RIFERITE ALL'ULTIMO ESERCIZIO FINANZIARIO PER OGNI ENTE importi giacenze presso Banca Italia ultimi 3 anni e puntuale al 30/06/2021 per ogni ente Importi disponibili al di fuori della tesoreria Banca Italia ultimi 3 anni e puntuale al 30/6/21 per ogni ente numero dipendenti suddiviso tra personale medico e non medico numero bonifici extra SEPA disposti anni 2019 e 2020 nr. Sepa (SDD) emessi importo del flusso Sepa (SDD) in € numero carte di credito intestate ente Importo ANNUO dei prelievi dai 52 C/C Postale importo contanti versato annualmente in Cassa Tesoriere in € numero dei punti prelievo contante presso cui viene svolto il servizio di ritiro, contazione valori e cambio monete da parte società portavalori numero di viacard in possesso al 31/12/2020 versamento annuo moneta in cassa Tesoriere fideiussioni importo delle garanzie rilasciate ultimi 3 anni e numero 8) Si richiede la pubblicazione della seguente documentazione (per ogni Ente): • delibera di anticipazione di tesoreria ANNO 2021(in caso di assenza copia anno 2020) • lettera di richiesta del dirigente al tesoriere di attivazione anticipazione cassa anno 2021 (in caso di assenza copia anno 2020) • bilancio consuntivo 2020 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo; • bilancio pluriennale preventivo 2021 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo; • Elenco di tutti gli affidamenti bancari e per i mutui indicare: importo originario, debito residuo, data inizio e data scadenza mutuo, rata mutuo ALLEGATO 3 CLAUSOLE CONTRATTUALI SUPPLEMENTARI ALLE CLAUSOLE CONTRATTUALI STANDARD RELATIVE AI TRASFERIMENTI DA TITOLARE A RESPONSABILE, AL FINE DI PREVEDERE MISURE DI SALVAGUARDIA ADDIZIONALI, IN CONFORMITÀ ALL’ARTICOLO 46 DEL GDPR ED ALLA DECISIONE SCHREMS II Le presenti Clausole Contrattuali Supplementari ("Addendum") produttive di effetti dalla data della firma da ultimo apposta di seguito ("Data di Efficacia dell’Addendum") vengono sottoscritte da: [INSERIRE IL NOME DELLA SOCIETÀ CHE AGISCE IN QUALITÀ DI TITOLARE DEL TRATTAMENTO] (il "Titolare"), il quale agisce direttamente o per mezzo di un suo mandatario; e [INSERIRE IL NOME DELLA SOCIETÀ CHE DEVE SOTTOSCRIVERE/HA SOTTOSCRITTO LE CLAUSOLE CONTRATTUALI STANDARD IN QUALITÀ DI ESPORTATORE] (la "Società"), in qualità di parte delle Clausole Contrattuali Standard di cui all’Allegato 2, ciascuno, la "Parte" e, insieme, le "Parti". CONSIDERANDO A. Il presente Addendum costituisce parte integrante e sostanziale delle Clausole Contrattuali Standard sottoscritte in data [INSERIRE LA DATA DI SOTTOSCRIZIONE]. B. Considerando che l’Art. 46(1) del GDPR prevede che il Titolare possa trasferire i Dati Personali verso Paesi Terzi o verso un’organizzazione internazionale solo se ha fornito garanzie adeguate ed a condizione che gli Interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. C. Considerando che l’Art. 28(1) del GDPR prevede che, qualora un Trattamento debba essere effettuato per conto del Titolare, il Titolare ricorre unicamente a Responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in modo tale che il Trattamento soddisfi i requisiti del GDPR e venga garantita la tutela dei diritti dell'Interessato. D. Considerando che la Corte di Giustizia dell’Unione Europea ha adottato, in data 16 Luglio 2020, la decisione relativa al caso DPC v Facebook Ireland, Maximillian Schrems (Schrems II) stabilendo che i Titolari che intendono trasferire i Dati Personali verso un Paese Terzo o un’organizzazione internazionale devono verificare che le condizioni del trasferimento di cui alle clausole contrattuali standard (incluso il paese di destinazione) offrano garanzie adeguate alla tutela dei Dati Personali, in conformità al GDPR. E. Per le finalità di cui ai considerando da A a D, sopra, le Parti del presente Addendum hanno concordato di adottare alcune garanzie ulteriori ai fini del trasferimento dei Dati Personali da [INSERIRE LA DENOMINAZIONE DEL TITOLARE DEL TRATTAMENTO] alla Società. SI CONVIENE E SI STIPULA QUANTO SEGUE: alla luce delle reciproche obbligazioni di cui al presente Addendum, i seguenti termini e condizioni devono intendersi come un Addendum alle Clausole Contrattuali Standard di cui all’Allegato 2. Ove non diversamente disposto, qualsiasi riferimento nell’Addendum alle Clausole Contrattuali Standard deve intendersi relativo alle Clausole Contrattuali Standard come integrate dall’Addendum o da qualsiasi ulteriore addendum relativo ai diritti e agli obblighi di ciascuna Parte in materia di protezione dei dati personali. 1. DEFINIZIONI ED INTERPRETAZIONE DELL’ADDENDUM 1.1 Ai fini del presente Addendum, i termini successivamente indicati, ove riportati con la lettera maiuscola, hanno il seguente significato: per "Normativa sulla Protezione dei Dati Personali" si intende, ove applicabile: (a) il GDPR e (nei limiti delle previsioni non abrogate dal GDPR) la Direttiva 2002/58/CE (come recepita dalla normativa interna di ciascuno Stato Membro dello SEE); (b) qualsiasi altra legge, regolamento, codice di condotta, linea guida e parere in materia di protezione dei dati personali adottato da qualsiasi Autorità di Controllo competente o Istituzione Europea a cui [INSERIRE LA DENOMINAZIONE DEL TITOLARE DEL TRATTAMENTO] è soggetto, ciascuno di questi, come di volta in volta modificati, e qualsiasi normativa applicabile che attua, modifica, sostituisce o sospende l’applicazione degli atti sopra citati in ciascuno Stato Membro dello SEE; e (c) Normativa UK sulla Protezione dei Dati Personali; per “DPA” si intende l’accordo sulla protezione dei dati personali di cui l’Addendum costituisce un allegato; per "SEE" si intende lo Spazio Economico Europeo; per "UE" si intende l’Unione Europea; per "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); per “Provvedimento Vincolante” si intende qualsiasi mandato di comparizione, richiesta obbligatoria e ordinanza giurisdizionale in ambito civile, amministrativo o penale adottato da un Organismo Pubblico, ivi inclusi, a titolo esemplificativo e non esaustivo, i mandati a comparire, le richieste e gli ordini emanati ai sensi di leggi, di regolamenti o di altra normativa locale, regionale, statale, nazionale o federale applicabile alla Società o al Sub-responsabile nel Paese Terzo; per “Clausole Contrattuali Standard” si intendono le Clausole Contrattuali Standard di cui all’Allegato 2; per "CCS Titolare -Responsabile" si intendono: (i) le clausole contrattuali standard approvate ed adottate dalla Commissione Europea ai fini del trasferimento di dati personali verso responsabili stabiliti in paesi terzi che non garantiscono un livello di protezione adeguato ai sensi della Decisione della Commissione Europea 2010/87/UE del 5 Febbraio 2010 relativa alle clausole contrattuali standard per il trasferimento dei dati personali a responsabili stabiliti in paesi terzi, come notificata con il documento numero C(2010) 593 o (ii); in relazione al Regno Unito, al termine del Periodo di Transizione, le clausole contrattuali standard relative al trasferimento dei dati personali dal Titolare al Responsabile previste: (a) dalla regolamentazione di cui all’art. 46(2)(c) dello UK GDPR; o (b) dal documento adottato (e non revocato) in conformità all’art. 46(2)(d) dello UK GDPR; per "Organismo Pubblico" si intende qualsiasi autorità locale, regionale, statale, nazionale o federale preposta all'applicazione della legge, organo legislativo, dipartimento governativo, agenzia o tribunale di qualsiasi Paese Terzo; per "Ragionevole Sforzo" si intende l'adozione di tutte le misure necessarie per raggiungere l'obiettivo preposto, compreso il compimento di qualsiasi azione utile e la messa a disposizione di risorse necessarie per raggiungere tale obiettivo entro i tempi previsti; per "Dati Personali Rilevanti" si intendono tutti i Dati Personali che la Società o ciascun Sub-responsabile tratta ai fini dell’esecuzione dei servizi, come individuati nel Contratto di Servizi, nel DPA, nelle Clausole Contrattuali Standard e nel presente Addendum; per "Sub-responsabile" si intende qualsiasi subappaltatore della Società, e qualsiasi affiliata o controllata, intendendosi, per affiliata o controllata, un'entità che possiede o controlla, è posseduta o controllata da, o è sotto il comune controllo della Società, situata all'interno o al di fuori dello SEE, alla quale la Società ha delegato, in tutto o in parte, il trattamento dei Dati Personali Rilevanti al solo scopo di fornire i servizi previsti nel Contratto di Servizi; per "Paese Terzo" si intende un paese che non è uno Stato Membro dello SEE, ivi inclusi, al termine del Periodo di Transizione (e in assenza di una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45(3) GDPR), il Regno Unito; per "Periodo di Transizione" si intende il periodo definito all'art. 126 dell'Accordo sul Recesso del Regno Unito dall'UE e dalla Comunità Europea dell’Energia Atomica del 24 gennaio 2020 (che decorre dalla data di entrata in vigore dell’Accordo e termina il 31 dicembre 2020); per "Regno Unito" si intende il Regno Unito di Gran Bretagna e Irlanda del Nord; e per "Normativa UK sulla Protezione dei Dati Personali" si intende il GDPR, come trasposto nel sistema normativo del Regno Unito ai sensi della sezione 3 dell’European Union (Withdrawal) Act 2018 e come modificato dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 ("UK GDPR"), insieme al Data Protection Act 2018, al Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 e all’altra normativa in materia di dati personali e privacy di volta in volta applicabile nel Regno Unito. Ai fini del presente Addendum e nei limiti in cui lo UK GDPR trovi applicazione, i riferimenti al GDPR si intendono fatti allo UK GDPR ed alle relative previsioni e i riferimenti alla normativa europea ed a quella degli Stati Membri si intendono fatti alla normativa del Regno Unito. 1.2. I termini "Titolare", "Valutazione d’Impatto sulla Protezione dei Dati", "Interessato", "Dato Personale", "Trattamento", "Responsabile", "Categorie Particolari di Dati Personali" e "Autorità di Controllo" hanno il medesimo significato loro attribuito dalla Normativa sulla Protezione dei Dati Personali applicabile. 1.3. I termini utilizzati con la lettera maiuscola e non definiti nel presente Addendum hanno il significato loro attribuito nel DPA. 2. AUTORITÀ 2.1 La Società dichiara e garantisce che, prima che il suo Sub-responsabile inizi il trattamento dei Dati Personali Rilevanti (ivi incluso, a titolo esemplificativo e non esaustivo, ai fini che interessano il Provvedimento Vincolante e/o la conservazione o divulgazione dei Dati Personali Rilevanti), sottoscriverà il presente Addendum con detto Sub-responsabile per conto del Titolare. Fermo restando quanto sopra, la Società rimarrà comunque responsabile nei confronti del Titolare per qualsiasi violazione del presente Addendum da parte del suo Sub-responsabile. Le garanzie previste nel presente Addendum si intendono addizionali rispetto a quelle di cui alle Clausole Contrattuali Standard. 3. OBBLIGHI DELLA SOCIETÀ IN RELAZIONE AL TRATTAMENTO DEI DATI PERSONALI RILEVANTI 3.1 Warrant Canary Durante l’intero periodo di efficacia del Contratto di Servizi ed entro il 5° giorno di ogni mese di calendario, se la Società e ciascuno dei suoi Sub-responsabili non hanno ricevuto alcun Provvedimento Vincolante per la divulgazione dei Dati Personali Rilevanti ad un Organismo Pubblico, la Società invierà una comunicazione scritta al Titolare certificando che, nel mese di calendario precedente, nessun Dato Personale Rilevante è stato divulgato e che nessun Dato Personale Rilevante rischia di essere divulgato ad un Organismo Pubblico. Trattamento dei Dati Personali Rilevanti al fine di adempiere ad un obbligo di legge 3.2 Nella misura in cui il Titolare è soggetto al GDPR e/o al GDPR UK, la Società e qualsiasi suo Sub-responsabile tratterà i Dati Personali Rilevanti solo su istruzioni documentate del Titolare, anche in caso di trasferimenti di Dati Personali Rilevanti verso un Paese Terzo o un'organizzazione internazionale, a meno che tale trasferimento non sia richiesto, in base al caso, dalla normativa europea o di uno Stato Membro o dalla normativa del Regno Unito a cui la Società e il suo Sub-responsabile sono soggetti; in tal caso, la Società ed il suo Sub-responsabile informeranno il Titolare di tale obbligo legale prima di procedere al trattamento, a meno che, in base al caso, la normativa europea o quella di uno Stato Membro o la normativa del Regno Unito non vieti tale comunicazione per importanti motivi di interesse pubblico. 3.3 Nel caso in cui la Società o un suo Sub-responsabile riceva un Provvedimento Vincolante in cui si richieda la comunicazione dei Dati Personali Rilevanti ad un Organismo Pubblico, la Società o il suo Sub-responsabile ricevente dovrà: (i) tentare di reindirizzare l’Organismo Pubblico che ha emesso tale Provvedimento Vincolante a richiedere la comunicazione dei Dati Personali Rilevanti direttamente al Titolare; (ii) informare prontamente il Titolare e fornire una copia del Provvedimento Vincolante, a meno che ciò non sia vietato dalla legge applicabile; (iii) fornire al Titolare la risposta al Provvedimento Vincolante, a meno che ciò non sia vietato dalla legge applicabile; (iv) effettuare tale comunicazione in qualità di autonomo titolare del trattamento; (v) effettuare tale comunicazione in conformità alla Normativa sulla Protezione dei Dati Personali (ove applicabile) ed alle Clausole Contrattuali Standard. Ulteriori garanzie contrattuali in relazione al trattamento dei Dati Personali Rilevanti 3.4 Per quanto possibile al fine di adempiere agli obblighi di cui al Contratto di Servizi, la Società ed il suo Sub-responsabile si impegnano a trattare i Dati Personali Rilevanti all’interno dell’UE. 3.5 La Società tratterà i Dati Personali Rilevanti nel pieno rispetto della Normativa sulla Protezione dei Dati Personali ed in conformità con le previsioni previste da tale normativa ed applicabili ai Responsabili. In particolare, la Società si impegna a: a) tenere un registro delle attività di Trattamento svolte per e per conto del Titolare. Tale registro deve contenere: ? il nome e i dati di contatto della Società ed il nome e i dati di contatto del Titolare; ? le attività di Trattamento effettuate per conto del Titolare; ? ove applicabile, i dettagli dei trasferimenti dei Dati Personali Rilevanti verso un Paese Terzo o un’organizzazione internazionale, inclusa l'indicazione del Paese Terzo o dell’organizzazione internazionale nonché la documentazione delle garanzie adeguate che la Società e i suoi Sub-responsabili autorizzati al trattamento dei Dati Personali Rilevanti hanno adottato per garantire che il trasferimento sia conforme ai requisiti della Normativa sulla Protezione dei Dati Personali; ? i dettagli delle misure tecniche e organizzative che la Società e i suoi Sub-responsabili autorizzati al Trattamento dei Dati Personali Rilevanti hanno adottato per garantire la sicurezza dei Dati Personali Rilevanti; b) su richiesta del Titolare, mettere a disposizione di quest’ultimo il registro delle attività di Trattamento di cui alla clausola 3.5(a) del presente Addendum entro 48 ore dalla richiesta del Titolare; c) designare un soggetto all’interno della propria organizzazione, in qualità di responsabile della protezione dei dati della Società. Tale soggetto sarà responsabile di assicurare che la Società rispetti gli obblighi assunti in materia di protezione dei dati, come stabiliti nel DPA, nelle Clausole Contrattuali Standard e nel presente Addendum. Detto responsabile della protezione dei dati dovrà conformarsi alla Normativa sulla Protezione dei Dati Personali relativa ai responsabili della protezione dei dati e sarà responsabile, tra gli altri, della supervisione del rispetto da parte della Società e dei suoi Sub-responsabili delle previsioni di cui alle Clausole Contrattuali Standard ed al presente Addendum. La Società garantisce che il soggetto designato presenta adeguate qualifiche professionali e una conoscenza esperta della Normativa sulla Protezione dei Dati Personali. La Società, su richiesta scritta del Titolare, metterà a disposizione del Titolare i dati di contatto di tale responsabile della protezione dei dati; d) nel caso in cui il trattamento dei Dati Personali Rilevanti venga effettuato da soggetti che non sono stabiliti all’interno dell’UE, designare un rappresentante stabilito all’interno dell’UE ("Rappresentante nell’UE") e nel Regno Unito ("Rappresentante nel Regno Unito"), ai sensi dell'art. 27 del GDPR. Oltre quanto sopra, i dati di contatto del Rappresentante nell'UE e del Rappresentante nel Regno Unito dovranno essere messi a disposizione del Titolare prima della o, in ogni caso, entro la Data di Efficacia dell’Addendum, in conformità alla Normativa sulla Protezione dei Dati Personali. 3.6 Qualora la Società e/o un Sub-responsabile della Società, il personale e/o qualsiasi altra entità, subappaltatore o individuo che agisce sotto le istruzioni della Società sia situato al di fuori dello SEE (di seguito, insieme alla Società, "Responsabili extra-SEE ") e necessiti di trattare i Dati Personali Rilevanti, tale trattamento dei Dati Personali Rilevanti: a) non dovrà comportare l'accesso ai Dati Personali Rilevanti in forma non criptata, salvo espressa autorizzazione del Titolare in tal senso; b) non dovrà comportare la disponibilità, la conservazione, la copia o qualsiasi altra duplicazione di Dati Personali Rilevanti (anche se criptati o pseudonimizzati) al di fuori dello SEE; c) se l’accesso ai Dati Personali Rilevanti in forma non criptata è autorizzato per iscritto dal Titolare, tale accesso dovrà avvenire attraverso virtual desktop infrastructure (VDI) e, in ogni caso, in conformità a quanto al precedente punto (b), sia in caso di: (i) VDI dei Responsabili extra-SEE per l’accesso ai Dati Personali Rilevanti; (ii) VDI del Titolare per l’accesso ai Dati Personali Rilevanti; e d) dovrà essere strettamente limitato, in quanto a tempo e portata, a quanto necessario per la fornitura dei servizi previsti dal Contratto di Servizi che non possono essere forniti dal personale della Società o dei suoi Sub-responsabili situati all’interno dello SEE. 3.7 Garanzie tecniche addizionali relative ai Dati Personali Rilevanti In caso di accesso ai Dati Personali Rilevanti di un Responsabile extra-SEE, la Società si impegna a: a) cifrare i Dati Personali Rilevanti "a riposo" e "in transito" utilizzando algoritmi non vulnerabili (ad es. AES256 e TLS, SSH). Nel caso di cifratura "a riposo", la cifratura deve essere implementata a livello dei dati (es. a livello di disco, file system, livello di applicazione). La cifratura deve essere conforme agli standard NIST aggiornati o a standard equivalenti. Inoltre, le chiavi di cifratura devono essere possedute e gestite dal Titolare (scenario BYOK - Bring Your Own Key) nonché le chiavi di cifratura devono essere mantenute in un archivio sicuro, sfruttando i dispositivi di gestione delle chiavi (ad es. HSM che utilizza le API PKCS#11) per garantirne la rigorosa segregazione; b) garantire una rigorosa segregazione logica o fisica tra i dati del Titolare e quelli degli altri clienti (ad es. multi-tenancy, macchine virtuali dedicate, database dedicati); c) ridurre al minimo il numero di archivi dei Dati Personali Rilevanti (es. banche dati, file, copie, archivi), evitando inutili duplicazioni; d) garantire l'integrazione con il sistema di gestione delle identità e degli accessi del Titolare in caso di accesso da parte del personale del Titolare in modo tale da consentire a quest’ultimo di gestire i processi di autenticazione degli utenti nonché i profili di accesso. Inoltre, la Società deve garantire al Titolare la possibilità di utilizzare identità federate secondo gli standard di mercato (es. SAML 2.0, ecc.); e) implementare un meccanismo di registrazione degli eventi (logging) per consentire al Titolare di accedere, su richiesta, ai registri relativi all'accesso e all'utilizzo dei sistemi informatici contenenti i Dati Personali Rilevanti, registrando l'ID di accesso, l'ora, il luogo, l'autorizzazione concessa o negata e l'attività rilevante; f) su richiesta del Titolare, fornire a quest’ultimo i registri relativi all’accesso e almeno l'elenco degli utenti abilitati all'accesso ai Dati Personali Rilevanti e i relativi diritti di accesso; e g) garantire l’adozione delle misure di sicurezza standard, di cui [INSERIRE IL NOME DELL’ALLEGATO TECNICO] allegato al Contratto di Servizi. 4 ULTERIORI GARANZIE 4.1 Se e nella misura in cui la Commissione Europea modifichi o sostituisca le CCS Titolare-Responsabile ai sensi dell'art. 46(5) del GDPR, le Parti convengono che tali clausole sostituiranno automaticamente le Clausole Contrattuali Standard. Le Parti si impegnano altresì ad adottare tutte le misure supplementari necessarie a garantire che tali clausole sostitutive siano applicate con riferimento a tutti i trasferimenti effettuati. 4.2 Nel caso in cui, in qualsiasi momento, un'Autorità di Controllo o un tribunale con giurisdizione nei confronti di una Parte preveda che i trasferimenti dai Titolari all’interno dello SEE ai Responsabili stabiliti al di fuori dello SEE debbano essere soggetti a specifiche misure di salvaguardie aggiuntive (incluse, a titolo esemplificativo e non esaustivo, specifiche misure tecniche ed organizzative), le Parti compiranno ogni Ragionevole Sforzo per adottare tali misure di salvaguardia e garantiranno che qualsiasi trasferimento dei Dati Personali Rilevanti sia condotto nel rispetto di tali misure di salvaguardia aggiuntive. 5 CONDIZIONI GENERALI 5.1 Clausola di ultrattività Qualsiasi obbligo imposto alla Società e ai suoi Sub-responsabili ai sensi del presente Addendum in relazione al Trattamento dei Dati Personali Rilevanti rimarrà in vigore anche dopo la cessazione o la scadenza del presente Addendum. 5.2 Inadempimento Qualsiasi violazione del presente Addendum costituisce una violazione sostanziale del DPA e delle Clausole Contrattuali Standard. 5.3 Prevalenza tra contratti Quanto previsto nel presente Addendum non limita gli obblighi della Società o dei suoi Sub-responsabili in relazione alla protezione dei Dati Personali Rilevanti ai sensi delle Clausole Contrattuali Standard e nemmeno consente alla Società ed ai suoi Sub-responsabili di trattare (o consentire il Trattamento) dei Dati Personali Rilevanti secondo modalità diverse da quelle di cui alle Clausole Contrattuali Standard. Fermo restando quanto previsto dalla presente clausola 5.3, con riferimento all'oggetto del presente Addendum, in caso di incompatibilità tra le disposizioni: (i) del presente Addendum; e (ii) delle Clausole Contrattuali Standard e di qualsiasi altro accordo tra le parti, le disposizioni delle Clausole Contrattuali Standard prevarranno. 5.4 Diritti di terzi Qualsiasi soggetto diverso dalle Parti del presente Addendum non ha il diritto di far valere alcun termine del presente Addendum; solo il Titolare può far valere qualsiasi termine esplicitamente o implicitamente inteso a suo vantaggio. I diritti delle Parti di rescindere o modificare il presente Addendum non sono soggetti al consenso di alcun soggetto diverso dal Titolare e dalla Società. 5.5 Legge applicabile e giurisdizione Il presente Addendum è disciplinato dalla legge dello Stato in cui ha sede il Titolare ed è soggetto alla giurisdizione esclusiva degli organi giurisdizionali dello Stato in cui ha sede il Titolare. IN FEDE DI CHE, il presente Addendum costituisce parte integrante e sostanziale delle Clausole Contrattuali Standard a decorrere dalla Data di Efficacia dell’Addendum, come sopra indicata. [Titolare] [Società] Firma: Firma: Nome: Nome: Titolo: Titolo: Data: Data: ALLEGATO MISURE DI SICUREZZA Il Responsabile del trattamento, per quanto di propria competenza, è tenuto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dal Regolamento UE 2016/679 (GDPR). Il Responsabile, in allineamento con il Titolare, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano in grado di ridurre il rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, nonché a ridurre il trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento. In particolare, il Responsabile si impegna a: 1) Adottare le misure tecniche e organizzative di cui all’art. 32 del Regolamento UE 2016/679 (GDPR) in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati. Tali misure comprendono, tra le altre, ove applicabili: • la pseudonimizzazione e la cifratura dei dati personali; • la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2) Garantire che chiunque agisca sotto la sua autorità e abbia accesso ai dati personali del Titolare, sia stato adeguatamente istruito in tema di responsabilità e riservatezza dei dati personali. In tale prospettiva il Responsabile attua un programma formale di formazione e sensibilizzazione dei dipendenti per rendere consapevole il personale delle politiche relative alla sicurezza dei dati. 3) In caso di violazione dei dati personali (ai sensi del Regolamento UE 2016/679 (GDPR), darne comunicazione al Titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza con ragionevole certezza. Il Responsabile deve altresì raccogliere e fornire al Titolare le seguenti informazioni: • una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; • il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; • una descrizione delle misure adottate o di cui si propone l'adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Resta inteso tra le parti che il Responsabile non notificherà al Titolare casi in cui il dato violato sia inutilizzabile e quindi non si configuri alcun rischio per i diritti e le libertà delle persone fisiche.
Risposta :
Relativamente ai quesiti posti :
1) Si conferma quanto previsto negli atti di gara;
2) Si conferma quanto previsto negli atti di gara;
3) Il Limite massimo di anticipazione dell’AUSL di Imola nel 2020 è pari a 24.500.000,00. La stessa AUSL non ha fatto ricorso nel 2020 all’anticipazione;
4) Si conferma, fermo restando che il Tesoriere dovrà fungere da PSP per le transazioni che avvengono attraverso i POS delle macchine riscuotitrici;
5) L’art. 5.2. del Disciplinare prevede che “La Convenzione potrà essere rinnovata fino ad ulteriori 12 mesi, agli stessi termini e condizioni, su comunicazione scritta dell’Agenzia da effettuarsi entro il 30/06/2025. In caso di rinnovo della Convenzione gli ordinativi saranno rinnovati fino alla nuova scadenza della Convenzione stessa. La durata degli Ordinativi di fornitura in corso di esecuzione (anche in seguito al rinnovo di cui sopra) potrà essere modificata per un massimo di sei mesi e per il tempo strettamente necessario alla conclusione delle procedure necessarie per l’individuazione del nuovo contraente ai sensi dell’art. 106, comma 11, del Codice. In tal caso il contraente è tenuto all’esecuzione delle prestazioni oggetto della Convenzione quadro agli stessi - o più favorevoli - prezzi, patti e condizioni”. Il Fornitore è quindi tenuto ad accettare sia il rinnovo che la proroga;
6) Il par. 16 del Capitolato tecnico prevede: “Il Tesoriere dovrà concordare in appositi accordi con le singole Aziende Sanitarie le modalità di trattamento dei dati nel rispetto delle rispettive policy di gestione.” Pertanto le Aziende Sanitarie non sono tenute alla sottoscrizione di documenti proposti dal Fornitore ma le clausole devono essere concordate.
7) Nel Capitolato e nei relativi allegati sono stati forniti i dati necessari per l’elaborazione dell’offerta. Ulteriori dati verranno forniti al Fornitore aggiudicatario;
8) Le Aziende Sanitarie adottano atti per determinare annualmente l’anticipazione massima di cassa calcolata sulla base dei bilanci di previsione e di quanto previsto all’art. 2 punto 1 comma g) del Dlgs n. 229 del 19/6/99. I valori dell’anticipazione massima per il 2020 e il 2019 sono riportati nel capitolato.
I Bilanci di previsione 2021 non sono disponibili; i bilanci consuntivi 2020 sono stati approvati con la Delibera di Giunta n. 201 del 26/07/2021 e verranno pubblicati sul sito indicato nel Capitolato Tecnico secondo i termini di legge. Qualora di desideri acquisirli prima, occorre fare richiesta all’indirizzo felicia.ilgrande@regione.emilia-romagna.it e p.c. andrea.puddu@regione.emilia-romagna.it
Per quanto riguarda gli altri dati richiesti nel Capitolato e nei relativi allegati sono stati forniti i dati necessari per l’elaborazione dell’offerta. Ulteriori dati verranno forniti al Fornitore aggiudicatario
