Servizio di tesoreria per le Aziende sanitarie della Regione Emilia-Romagna 2

Domanda : facendo seguito al nostro quesito del 11/8/21, chiediamo cortesemente riscontro sui dati richiesti, in particolare gli importi disponibili al di fuori della tesoreria Banca Italia ultimi 3 anni e puntuale al 30/6/21

Risposta :

Domanda : Con la presente richiediamo le seguenti informazioni e documenti ritenuti indispensabili per poter partecipare alla gara e per non creare disparità rispetto al quadro informativo in possesso dell’attuale Tesoriere (INFORMAZIONI RICHIESTE SONO RIFERITE ALL'ULTIMO ESERCIZIO FINANZIARIO – O DIVERSAMENTE INDICATO - PER OGNUNO DEI 13 ENTI): 1. importi giacenze presso Banca Italia ultimi 3 anni e puntuale al 30/06/2021 2. Importi disponibili al di fuori della tesoreria Banca Italia ultimi 3 anni e puntuale al 30/6/21 3. numero dipendenti suddiviso tra personale medico e non medico 4. numero bonifici extra SEPA disposti anni 2019 e 2020 5. nr. Sepa (SDD) emessi 6. importo del flusso Sepa (SDD) in € 7. numero carte di credito intestate ente 8. Importo ANNUO dei prelievi dai 52 C/C Postale 9. importo contanti versato annualmente in Cassa Tesoriere in € 10. numero dei punti prelievo contante presso cui viene svolto il servizio di ritiro, contazione valori e cambio monete da parte società portavalori 11. numero di viacard in possesso al 31/12/2020 12. fideiussioni importo delle garanzie rilasciate ultimi 3 anni e numero 13. Numero delle operazioni di prelievo dagli ATM anni 2019 e 2020 14. Copia della delibera di anticipazione di tesoreria ANNO 2021(in caso di assenza copia anno 2020) 15. Copia della lettera di richiesta al tesoriere di attivazione anticipazione cassa anno 2021 (in caso di assenza copia anno 2020)

Risposta :

Domanda : 1.Si chiede conferma che la durata del servizio - oltre eventuali proroga e rinnovo - sia prevista “fino al 31.12.2025”, come stabilito dal Disciplinare di Gara e dal Progetto Tecnico, e non in “48 mesi”, come previsto più genericamente al punto II.2.7) del Bando di Gara; 2.Con riferimento all’art.4 del Capitolato Tecnico, si chiede conferma che il requisito richiesto sia la presenza del concorrente nell’elenco dei PSP aderenti al sistema PagoPA, presso i quali gli utenti possono effettuare i pagamenti tramite PagoPA in favore delle Aziende Sanitarie. Inoltre, atteso che il Tesoriere non deve ricoprire il ruolo di Intermediario Tecnologico per il PagoPA, si chiede altresì conferma che, nell’ambito della gestione delle entrate che transitano dal predetto circuito, quanto richiesto dal Capitolato sia riferito al trasferimento sul Giornale di Cassa, all'atto dell'accredito (provvisorio entrata), di ogni informazione pervenuta dal PSP che ha incassato la somma ed eseguito il riversamento, informazione che poi l’ente utilizzerà per produrre gli ordinativi a regolarizzazione; 3.Con riferimento all’art. 4.1 Capitolato Tecnico, circa il collegamento dei POS alle macchine riscuotitrici presenti presso le Aziende Sanitarie, si chiede conferma che la fornitura delle macchine riscuotitrici sia un’attività non ricompresa all’interno degli impegni a carico Tesoriere bensì che siano le Aziende Sanitarie a occuparsi in proprio della disponibilità dei suddetti apparecchi; 4.Con riferimento all’art.8 del Capitolato Tecnico si chiede conferma che le Aziende intendono avvalersi del tesoriere per il servizio di tramite SIOPE+ per il tratto Banca d’Italia-Ente; 5.Con riferimento all’art.8.2 del Capitolato Tecnico si richiede se è possibile ottenere un range di costi per la messa a disposizione del supporto tecnico finalizzato alla realizzazione dei client di versamento dei dati per la conservazione da parte di ParER; 6. Si richiede conferma relativamente alla tipologia di documenti da inoltrare alla conservazione da parte del Tesoriere: è riferito alla sola documentazione prodotta nell’iter di lavorazione degli ordinativi OPI: flussi, ricevute di servizio, ricevute di esito applicativo, ecc 7.Con riferimento all’art.17 del Capitolato Tecnico si chiede conferma che la contabilizzazione di eventuali interessi creditori/debitori avrà luogo con la cadenza prevista dalle disposizioni legislative tempo per tempo vigenti (attualmente è prevista liquidazione annuale); 8.Con riferimento all’art.21 del Capitolato Tecnico si chiede conferma che il “tasso creditore annuo sulle eventuali giacenze di cassa: spread pari allo 0,50% applicato a Euribor3 mesi (360)” non sia oggetto di offerta ma debba intendersi predefinito. Al riguardo si chiede di conoscere tipologia ed entità delle giacenze eventualmente detenute presso l’attuale o gli attuali tesorieri; 9.Con riferimento allo Schema di Convenzione relativamente al punto h) delle Premesse, considerato che per quanto attiene la Polizza RCT, la Banca possiede idonea polizza Master, si chiede conferma circa la validità della tacita estensione della suddetta polizza Master anche al servizio in oggetto. 10.Con riferimento ai contenuti dello Schema Convenzione in generale, ed in particolare all’art.11 Modalità e Termini di esecuzione del Servizio si richiede conferma dell’applicazione delle esclusioni previste al punto 3.1.2 delle Linee Guida v.1.3 del NSO per quanto attiene le transazioni inerenti a “spese per servizi di cassa e tesoreria”; 11.Con riferimento all’eventuale rinnovo, di cui al punto 5.2 del Disciplinare di Gara, si chiede di precisare se, in caso di esercizio dell’opzione da parte dell’Agenzia nei modi e termini previsti, il Fornitore sia o meno tenuto a concedere il rinnovo stesso per un ulteriore anno successivo alla scadenza originaria del servizio 12.con riferimento agli ultimi due periodi del suddetto punto 5.2 del Disciplinare di Gara (“Nel caso in cui, prima del decorso del termine di durata della Convenzione quadro, anche eventualmente rinnovato, sia esaurito l’importo massimo spendibile, al Fornitore potrà essere richiesto, alle stesse condizioni, di incrementare tale importo fino alla concorrenza di un quinto, ai sensi dell’art. 106, comma 12, del Codice, anche per consentire l’adesione di eventuali nuovi enti del Servizio sanitario regionale che dovessero essere costituiti nel periodo di vigenza della Convenzione. Fermo restando quanto sopra, l’Agenzia e le Aziende Sanitarie potranno altresì, nel corso dell’esecuzione, apportare variazioni secondo quanto previsto dal suddetto articolo”), si chiede di precisare meglio i termini nei quali il Fornitore sia tenuto all’incremento suddetto, con particolare riguardo alla concessione dell’anticipazione di cassa;

Risposta :

Domanda : si chiede, la seguente documentazione per ognuno dei 13 enti: -bilancio consuntivo 2020 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo; -bilancio pluriennale preventivo 2020 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo (non essendo disponibile il 2021); -Elenco di tutti gli affidamenti bancari e per i mutui indicare: importo originario, debito residuo, data inizio e data scadenza mutuo, rata mutuo

Risposta :

Domanda : con riferimento al disciplinare di gara e in particolare: all’ art. 1 : “… Con l’aggiudicatario (di seguito: Fornitore) verrà stipulata una Convenzione quadro con la quale il Fornitore medesimo si obbliga ad accettare gli Ordinativi di fornitura (i.e. contratti), emessi dalle Aziende sanitarie contraenti per l’erogazione del servizio oggetto della presente gara ….. Nel periodo di validità della Convenzione, le singole Aziende sanitarie contraenti, previa registrazione sul sito http://intercenter.regione.emilia-romagna.it/, potranno emettere Ordinativi di fornitura sottoscritti da persona autorizzata (Punto ordinante) ad impegnare la spesa dell’Azienda sanitaria contraente stessa fino a concorrenza dell’importo massimo spendibile pari all’importo offerto.” All’art. 4: è determinato l’importo massimo dell’appalto (come costo massimo a base d’asta) 10,1 €/mln + 2,5 €/mln in caso di eventuale rinnovo di 1 anno All’art 5.1: “La Convenzione avrà durata dalla data di sottoscrizione della stessa e fino al 31 dicembre 2025. Resta inteso che per durata della Convenzione quadro, si intende il periodo entro il quale le Aziende sanitarie contraenti possono emettere Ordinativi di fornitura, vale a dire, stipulare contratti con il Fornitore. Si riportano di seguito le Aziende per le quali verrà attivato il nuovo servizio di tesoreria. Tutte hanno i contratti attuali in scadenza al 31/12/2021 o AUSL Piacenza o AUSL Parma o AUSL Reggio Emilia o AUSL Modena o AUSL Bologna o AUSL Ferrara o AUSL Imola o AUSL Romagna o AOSP Parma o AOSP Modena o AOSP Ferrara o IRCCS - Istituto Ortopedico Rizzoli o AOU - Policlinico S.Orsola – Malpighi” All’art. 5.2: “…. Nel caso in cui, prima del decorso del termine di durata della Convenzione quadro, anche eventualmente rinnovato, sia esaurito l’importo massimo spendibile, al Fornitore potrà essere richiesto, alle stesse condizioni, di incrementare tale importo fino alla concorrenza di un quinto, ai sensi dell’art. 106, comma 12, del Codice, anche per consentire l’adesione di eventuali nuovi enti del Servizio Sanitario Regionale che dovessero essere costituiti nel periodo di vigenza della Convenzione.” poiché non risulta chiaro il perimetro delle controparti (e di conseguenza del rischio) oggetto della convenzione quadro e conseguentemente il nostro obbligo in caso di aggiudicazione, considerato che le strutture contraenti sono attualmente la totalità di quelle del SSR Emilia-Romagna, si richiede conferma che la Banca cassiera aggiudicataria sia obbligata a concedere l’anticipazione di cassa per alle sole strutture elencate nel disciplinare di gara.

Risposta : Si conferma che le Aziende che aderiranno alla convenzione sono quelle del Sistema Sanitario Regionale indicate al par. 5.1 del disciplinare. Resta fermo che qualora si verifichino modifiche (accorpamenti/frazionamenti) a tali Aziende il fornitore dovrà adeguare il servizio al nuovo assetto; in ogni caso tali eventuali modifiche non produrranno significative variazioni all’importo complessivo delle anticipazioni da concedere in quanto lo stesso è legato al Fondo Sanitario Regionale.

Domanda : Con riferimento all'Art. 8.1 d) del disciplinare si richiede copia del citato D.M. Tesoro 05/05/1981 in cui vengono riportati i richiesti requisiti.

Risposta : In allegato si invia la GAZZETTA UFFICIALE DELLA REPUBBLICA ITALIANA n° 134 del 18-05-1981 dove risulta pubblicato il D.M. Tesoro 05/05/1981 (p. 3183-85 della gazzetta). 

Domanda : 1. In riferimento al Quesito PI262850-21 ed alla corrispondente Risposta PI267448-21 “Si conferma che non è necessario possedere l’Id Peppol per partecipare alla procedura” si chiede conferma che il concorrente non dovrà neppure dichiarare di impegnarsi in caso di aggiudicazione ad ottenerlo e a comunicarlo all’Agenzia Intercent-ER entro la stipula della Convenzione. 2. In riferimento al punto 19 della domanda di partecipazione che prevede di indicare l’Indirizzo dello sportello o l’Impegno a costituirne uno entro tre mesi dall’aggiudicazione, si chiede conferma che in vigenza di convenzione potrà essere modificata l’ubicazione dello sportello, fermo restando che dovrà comunque trovarsi nel territorio di ciascuno dei comuni indicato nel citato punto 19. 3. L’Art. 17 del capitolato prevede che il Tesoriere provvede ad addebitare automaticamente ed entro il 20 del mese successivo al trimestre al conto di Tesoreria, fatte salve le verifiche di regolarità da parte delle Aziende, le competenze di cui all’art. 21, secondo le periodicità ivi previste. Se per competenze si intendono anche gli interessi su eventuali utilizzi di anticipazioni di cassa, si chiede di precisare stante che attualmente, in base alla normativa vigente, tali competenze sono addebitate annualmente. 4. L’ ART. 9 comma 1 lettera e dello schema di convenzione prevede che l’aggiudicatario doti il personale delle divise di modello e dei dispositivi di protezione individuale previsti dalla normativa, e di tutte le attrezzature necessarie per l’espletamento del servizio. Si chiede di precisare tenuto conto che Cassiere ed Enti svolgeranno il servizio c/o le proprie sedi e quindi soggetti alla normativa interna di ciascuno per eventuali divise e dispositivi di protezione individuale, fermo restando gli obblighi normativi per la sicurezza sul lavoro. 5. L’art. 23 dello schema di convenzione prevede che l’aggiudicatario sia in possesso di una polizza responsabilità civile. Si chiede conferma che in caso di danni professionali/contrattuali il Cassiere ne risponderà in proprio senza necessità di apposita polizza per tali danni. 6. L’art 21 del capitolato prevede che sarà riconosciuto un tasso creditore annuo sulle eventuali giacenze di cassa: spread pari allo 0,50% applicato a Euribor 3 mesi (base 360). Si chiede conferma che, a fronte di interventi legislativi che incidano sugli equilibri del contratto, che potrebbero stante l’onerosità del servizio non quantificabile a priori, non preservare l’equità e la proporzionalità del rapporto contrattuale, il tasso creditore ivi indicato sarà oggetto di rinegoziazione tra le parti. 7. L ‘Art. 20 del capitolato prevede che l’aggiudicatario dovrà installare presso le i sedi indicate uno sportello ATM. Si chiede conferma che l’installazione e i successivi eventuali spostamenti dei Bancomat saranno subordinati al rispetto di tutti i requisiti di sicurezza che saranno richiesti dall’aggiudicatario del servizio di cassa e che gli oneri per la predisposizione dei locali saranno a carico delle Aziende Sanitarie. 8. L’art. 21 del capitolato prevede la possibilità di riscossioni mediante assegni circolari e bancari. Si chiede di precisare se ciascun Ente provvederà a firmare apposita manleva con la quale autorizza il tesoriere ad addebitare l’importo dell’assegno più relative spese e commissioni, tramite provvisorio sul conto di cassa, per tutti gli assegni che per qualunque motivo risultassero non pagati dalla banca trattarie/emittente. Ciascun Ente si impegna ad emettere tempestivamente il mandato a copertura del provvisorio di pagamento. Per effetto del mancato pagamento dell’assegno, la quietanza di cassa rilasciata al soggetto versante non deve essere annullata dal Cassiere, in quanto il recupero del credito per il mancato pagamento dell’assegno resta a carico dell’Ente, fermo restando l’assenza di commissioni su riscossioni mediante assegni. 9. Il punto 11 del disciplinare prevede che oltre al rilascio della garanzia provvisoria dovrà essere prodotto l’impegno al rilascio della cauzione definitiva, il punto 21 sempre del disciplinare prevede che per la stipula del contratto l’aggiudicatario dovrà presentare la garanzia definitiva mentre l’art. 19 del capitolato riporta che in analogia a quanto previsto dall’art. 211 D.Lgs. n. 267/2000, per eventuali danni causati all’ente affidante o a terzi, il Tesoriere risponde con tutte le proprie attività e con il proprio patrimonio. Stante il diverso tenore tra disciplinare e capitolato, si chiede di precisare se l’aggiudicatario deve produrre la garanzia definitiva oppure è sufficiente quanto previsto dall’art. 211 del TUEL. 10. Il punto 8.3 del disciplinare prevede che nell’ipotesi di partecipazione delle imprese raggruppate/raggruppande, consorziate/consorziande o GEIE che svolga il servizio di tesoreria, i requisiti di idoneità di cui al punto 8.1: lett. a) (iscrizione nel registro tenuto dalla Camera di commercio industria…) lett. b) (idoneità tecnico professionale), lett. c) (autorizzazione a svolgere l’attività di cui art. 10 del D.Lgs. n. 385/93 e s.m.i) lett. d) (requisiti previsti dal D.M. Tesoro 05/05/1981); devono essere posseduti da ciascuna impresa. Si chiede conferma che tale previsione faccia riferimento unicamente ai raggruppamenti orizzontali, mentre qualora la partecipazione in forma associata preveda che una o più mandati svolgano servizi secondari, le stesse dovranno possedere i requisiti relativi ai servizi da svolgere da parte loro, a titolo esemplificativo iscrizione alla C.C.I.A.A. per l’attività svolta, eventuale iscrizione ad albi professionali o similari e non a BANKIT, ecc. In caso di riscontro positivo si chiede di dettagliare le prestazioni secondarie che permettano la partecipazione in associazioni di imprese di tipo verticale. 11. L’art 9 comma 1 lettera g della convenzione prevede che su richiesta scritta dell’Agenzia o delle singole Aziende Sanitarie Contraenti, il Fornitore dovrà presentare il libro matricola e la documentazione INPS (DM 10) con certificazione di resa di conformità. Tenuto conto che: • non sono precisati i dipendenti del fornitore per i quali deve essere fornito il libro matricola. La partecipazione alla gara, per quanto ovvio, in presenza di obblighi creditizi di importo considerevole è limitata ad operatori con migliaia di dipendenti; • il libro matricola è stato abolito dal 2008 e pertanto non può essere prodotto; • la regolarità del pagamento dei contributi previdenziali INPS è verificabile tramite DURC; si chiede conferma che quanto previsto al citato all’articolo/comma/lettera sia un refuso e che sarà totalmente cassato dalla convenzione. 12. Si chiede di precisare se le richieste di anticipazioni di cassa saranno inoltrate unicamente all’aggiudicatario in caso di effettiva necessità di utilizzo e comunque per l’importo presunto di utilizzo, fermo restando che il cassiere provvederà ad attivare l’anticipazione richiesta o l’eventuale aumento immediatamente nei limiti previsti per ciascun Ente. 13. In riferimento all’art. 8 del capitolato di gara “Il Tesoriere si impegna altresì a fornire, tramite appositi flussi informativi elettronici e in maniera strutturata, tutti i dati e le informazioni necessarie per garantire alle Aziende Sanitarie la riconciliazione dei pagamenti avvenuti attraverso PagoPA” si chiede conferma che, qualora il tesoriere NON rivesta il ruolo di Partner Tecnologico, come indicato nelle linee guida di AGID, l’unico impegno in capo allo stesso sia Il trasferimento degli incassi ricevuti dai vari PSP sul conto di Tesoreria generando un provvisorio di entrata per ogni PSP. In caso di risposta negativa, si chiede di specificare meglio l’impegno descritto. 14. Con riferimento alle previsioni contenute nell’ultimo capoverso dell’art. 21 del disciplinare di gara, laddove recita testualmente “L’aggiudicatario è altresì tenuto ad effettuare tutte le operazioni necessarie, ad esso richieste dall’Agenzia, al fine della predisposizione del negozio elettronico, attraverso il quale le Aziende sanitarie contraenti procederanno ad emettere gli Ordinativi di fornitura”, Vi chiediamo di indicare nel dettaglio i connotati funzionali e le specifiche tecniche del “negozio elettronico” che chiedete all’aggiudicatario di predisporre e gestire per l’emissione degli ordinativi di fornitura da parte delle Aziende Sanitarie aderenti alla convenzione quadro. 15. Gli atti di gara prevedono che l’aggiudicatario per il SIOPE+ debba mettere a disposizione il collegamento tra Ente e Bankit (cosiddetta tratta 1) più interazione con Parer per la conservazione. Si chiede quante e quali Aziende necessitato di questi servizi da parte dell’aggiudicatario e quali sono le Aziende che attualmente utilizzano tale servizio fornito dal Cassiere e per le altre chi è l’attuale software house.

Risposta :

Domanda : Con riferimento alla garanzia provvisoria e definitiva prevista dal disciplinare (Art. 11) si richiede: 1. Se l’importo della garanzia provvisoria - ridotto dalla stazione appaltante all’1% (rispetto all’importo massimo del 2% previsto dal Codice degli Appalti) - possa essere ulteriormente ridotto allo 0,50% nei casi previsti all’art. 93 comma 7 del citato Codice 2. A quale percentuale dell’importo a basa d’asta debba ammontare la garanzia definitiva e se, come per la garanzia provvisoria, possa applicarsi la riduzione prevista dall’art.93 comma 7 del Codice degli appalti

Risposta :

Domanda : Con riferimento al fac simile di domanda di partecipazione si chiede conferma che non sia necessario per il concorrente il possesso del PARTICIPANT ID PEPPOL come stabilito dalle Linee guida per l’emissione e la trasmissione degli ordini elettronici emesso dal MINISTERO DELL’ECONOMIA E DELLE FINANZE - DIPARTIMENTO DELLA RAGIONERIA GENERALE DELLO STATO – Versione 1.3 emessa in data 28 giugno 2021 in quanto relativo a spese per servizi di cassa e tesoreria

Risposta : Si conferma che non è necessario possedere l’Id Peppol per partecipare alla procedura.

Domanda : Poiché nella documentazione di gara non sono presenti i singoli ordinativi di fornitura si chiede di depennare dalla convenzione (art.29 punto3.4) la frase “ivi comprese quelle specificate nell’ordinativo di fornitura”

Risposta :

Si precisa che l’Ordinativo di Fornitura è un documento generato successivamente alla stipula della convenzione, con il quale le Aziende Sanitarie Contraenti comunicano la volontà di acquisire le prestazioni oggetto della Convenzione, impegnando il Fornitore all'esecuzione della prestazione.

Domanda : Si inoltrano le seguenti richieste di modifica dell'Art. 29 dello Schema di Convenzione punto 3; Con la sottoscrizione della Convenzione il rappresentante legale del Fornitore acconsente espressamente al trattamento dei dati personali *** e si impegna ad adempiere agli obblighi di rilascio dell’informativa e di richiesta del consenso, ove necessario, nei confronti delle persone fisiche interessate di cui sono forniti dati personali nell’ambito dell’esecuzione della Convenzione e dei contratti attuativi, per le finalità descritte nel Disciplinare di gara in precedenza richiamate. *** Si chiede l’eliminazione del testo compreso fra gli asterischi, in quanto il rilascio dell’Informativa e la raccolta dei consensi è un obbligo che il Regolamento UE 2016/679 pone in capo al Titolare del Trattamento e non al Responsabile (in questo, caso la Banca). Punto 5: I trattamenti dei dati sono improntati, in particolare, ai principi di correttezza, liceità e trasparenza ed avvengono nel rispetto delle misure di sicurezza previste dall’ art 32 Regolamento UE 2016/679. Ai fini della suddetta normativa, le parti dichiarano che i dati personali forniti con il presente atto sono esatti e corrispondono al vero, esonerandosi reciprocamente da qualsivoglia responsabilità per errori materiali di compilazione ovvero per errori derivanti da una inesatta imputazione dei dati stessi negli archivi elettronici e cartacei, fermi restando i diritti dell’interessato di cui agli artt. 7 e da 15 a 22 del Regolamento UE 2016/679, *** diritti che dovranno essere esercitati presso l’Agenzia, Titolare del trattamento dei dati. *** Si chiede l’inserimento del testo compreso fra gli asterischi Punto 6: Qualora, in relazione all’esecuzione della presente Convenzione, vengano affidati al Fornitore trattamenti di dati personali di cui l’Agenzia risulta titolare, il Fornitore stesso è da ritenersi designato quale Responsabile del trattamento ai sensi e per gli effetti dell’art. 28, Regolamento UE 2016/679 (GDPR). In coerenza con quanto previsto dalla normativa richiamata, il Fornitore si impegna ad improntare il trattamento dei dati ai principi di correttezza, liceità e trasparenza nel pieno rispetto di quanto disposto dall’art. 5 del Regolamento UE 2016/679 e dalle ulteriori norme regolamentari in materia, limitandosi ad eseguire i soli trattamenti funzionali, necessari e pertinenti all’esecuzione delle prestazioni contrattuali e, in qualsiasi caso, non incompatibili con le finalità per cui i dati sono stati raccolti. *** Le categorie dei dati trattati sono:_______________ Le categorie degli interessati sono:______________ Le modalità del trattamento sono: _______________ Le finalità del trattamento dei dati medesimi sono:________________ *** Poiché spetta al Titolare indicare le categorie dei dati trattati dal Responsabile (anche laddove il trattamento coinvolga categorie di dati particolari ex artt. 9 e 10 GDPR), le categorie degli interessati coinvolti nel trattamento, le modalità e le finalità del trattamento si chiede di precisare integrando l’articolo (vedere testo compreso fra gli asterischi). Punto b) tenere un registro del trattamento conforme a quanto previsto dall’art. 30 del Regolamento UE/2016/679 ed a renderlo consultabile dal Titolare del trattamento, in caso di ispezioni da parte del medesimo a sue spese e cura, come indicato alla lettera f) del presente articolo. Il Fornitore dovrà consentire alle Aziende Sanitarie contraenti di eseguire, anche tramite terzi incaricati, le verifiche sulla corretta applicazione delle norme in materia di trattamento dei dati personali; Si chiede di considerare le revisioni apportate al punto b). Punto c) predisporre, qualora l’incarico comprenda la raccolta di dati personali, l’informativa di cui all’art 13 del Regolamento UE 2016/679 e verificare che siano adottate le modalità operative necessarie affinché la stessa sia effettivamente portata a conoscenza degli interessati Si chiede l’eliminazione della previsione, in quanto il rilascio dell’Informativa è un obbligo che il Regolamento UE 2016/679 pone in capo al Titolare del Trattamento e non al Responsabile (in questo, caso la Banca). Punto d) dare direttamente riscontro orale, anche tramite propri incaricati, alle richieste verbali dell’interessato Si chiede l’eliminazione della previsione, in quanto il riscontro alle richieste verbali e scritte è un obbligo che il Regolamento UE 2016/679 pone in capo al Titolare del Trattamento e non al Responsabile (in questo, caso la Banca). Nel paragrafo successivo sono state inserite le seguenti revisioni: trasmettere all’Agenzia, senza ingiustificato ritardo, le istanze dell’interessato per l’esercizio dei diritti di cui agli artt. 7 e da 15 a 23 del Regolamento UE 2016/679 che necessitino di riscontro scritto, in modo da consentire all’Agenzia stessa di dare riscontro all’interessato nei termini; nel fornire altresì all’Agenzia l’assistenza necessaria con misure tecniche e organizzative adeguate, nell’ambito dell’incarico affidato, per soddisfare le predette richieste; individuare gli autorizzati al trattamento dei dati personali, impartendo agli stessi le istruzioni necessarie per il corretto trattamento dei dati, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite; Si chiede l’inserimento di un punto e) declinato come segue: assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati. Il Responsabile del trattamento non ricorre ad un altro Responsabile se non previa autorizzazione scritta, del Titolare del trattamento. Al tale riguardo, il Titolare conferisce al Responsabile autorizzazione scritta e preventiva ad avvalersi di Sub Responsabili. Il Trattamento per conto del Titolare deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati in una forma che consenta l'identificazione degli Interessati per un periodo di tempo non superiore a quello in precedenza indicato, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati per precostituire la prova dell’esatto adempimento delle obbligazioni ed ottemperare ad un obbligo di legge; Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e di trattamento dei Dati personali ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679. Il Responsabile pertanto non dovrà trasferire od effettuare il Trattamento dei Dati personali del Titolare al di fuori dell’Unione Europea, per nessuna ragione, in assenza di autorizzazione scritta del Titolare, a meno che il paese terzo in cui si intendano trasferire i dati sia fra quelli che hanno conseguito formale valutazione di c.d. “adequacy” dalla Commissione Europea (art. 45 Regolamento Europeo n. 2016/679). In assenza di tale valutazione, il Responsabile si impegna a far ricorso a uno degli strumenti di garanzia di cui all’art. 46 del Regolamento Europeo n. 2016/679 o a basarsi su una delle deroghe previste dall’art. 49 del GDPR, anche nel rispetto delle indicazioni delle competenti Autorità dell'Unione Europea o nazionali. Qualora il Titolare rilasci l’autorizzazione di cui al presente articolo e venga pertanto effettuato un trasferimento dei dati personali del Titolare al di fuori dell’Unione Europea, tale trasferimento dovrà rispettare le previsioni di cui al GDPR sopra indicate. Si chiede l’inserimento di un punto f) di limitazione di responsabilità declinato come segue: Laddove il Titolare o terzi subiscano un danno, pretesa, risarcimento e/o sanzione derivanti dal trattamento dei dati personali affidati al Responsabile, la passività massima che il Responsabile (inclusi dipendenti, consulenti e sub-responsabili) potrà sostenere a seguito di eventuali contestazioni promosse dal Titolare in relazione ai servizi oggetto della Convenzione, e per passività derivanti da Responsabile, salvo i casi di dolo e colpa grave.

Risposta :

Domanda : Si richiede i seguenti chiarimenti ed informazioni: 1) In relazione al Capitolato Tecnico (allegato 5) art 8 “GESTIONE INFORMATIZZATA DEL SERVIZIO DI TESORERIA”” ove viene specificato “Il Tesoriere all’atto dell’assunzione dell’incarico, assume l’obbligo di adeguare il proprio sistema informatico, rendendolo compatibile con quello esistente presso le Aziende Sanitarie, per tutto ciò che riguarda la gestione informatizzata del servizio di tesoreria. …… In particolare il Tesoriere assicura il collegamento “on - line”, con spese a proprio carico, con le Aziende Sanitarie per il trasferimento degli ordinativi di pagamento e di riscossione, dei movimenti di riscossione e pagamento privi di relativi ordinativi, per verifiche e interrogazioni e per eventuali altri servizi di “home - banking” a cui le stesse fossero interessate” essendo la gestione informatizzata del servizio con l’uso di ordinativi di pagamento e di riscossione informatici firmati digitalmente e prevista dalla normativa vigente (SIOPE+), riteniamo che sia oramai obsoleto quanto previsto all’art 8. Si chiede conferma che il tesoriere è tenuto ad assicurare unicamente il collegamento nella tratta Bankit/Tesoriere e che resta invece a carico dell’Ente il collegamento nella tratta Ente/Bankit. 2) In relazione al Capitolato Tecnico (allegato 5) art 8.2 “ARCHIVIAZIONE DEGLI ORDINI ELETTRONICI” si ricorda che, non essendo disponibili al tesoriere i documenti da conservare a norma sottoscritti dall’Ente e non essendo il tesoriere un conservatore abilitato, il tesoriere provvederà unicamente alla conservazione dei documenti dallo stesso firmati. Inoltre sempre con riferimento al Capitolato Tecnico si chiede conferma che la realizzazione del collegamento informatico e l’adeguamento del servizio alle eventuali modifiche normative provvederà ciascuna parte per gli aspetti di propria competenza anche con riferimento alle spese da sostenere. 3) In relazione al Capitolato Tecnico (allegato 5) art 17 “IMPEGNO ALLA CONCESSIONE DI ANTICIPAZIONI” si chiede di inserire il dato 2020 in relazione alla AUSL Imola (presente nella presentazione durante la Consultazione Preliminare) 4) In relazione al Capitolato Tecnico (allegato 5) art 4.1 “POS” Si chiede conferma che il collegamento telematico con 187 macchine riscuotitrici automatiche o altri canali sia inteso per il tramite dei POS fisici attivi sul front-office (di proprietà ente o della società proprietaria delle macchinette riscuotitrici) e che l’eventuale integrazione degli stessi sul Nodo con PagoPa resterà con costi di attivazione e gestione a carico dell’ASUR ovvero a costi da concordare tra le parti 5) In relazione all’art.7 (sub 2) dello schema di convenzione ed in particolare alla possibilità dell’Ente di rinnovare la convenzione per ulteriori 12 mesi, si chiede conferma che tale facoltà di rinnovo sia subordinata all’accettazione da parte del tesoriere e pertanto che non si tratti di atto unilatere dell’Ente e quindi di un obbligo per il tesoriere 6) In relazione all’art.29 dello schema di convenzione “TRATTAMENTO DEI DATI, CONSENSO AL TRATTAMENTO” è previsto che l’Ente nomini il Tesoriere quale responsabile esterno del trattamento dei dati nell’esecuzione delle prestazioni oggetto della convenzione. Si chiede conferma che, in caso di aggiudicazione al nostro Istituto, il Vostro spettabile Ente sottoscriverà il DPA standard della Banca e relativo allegato utilizzato per operazioni del tipo (allegati) 7) Si richiedono le seguenti informazioni: INFORMAZIONI RIFERITE ALL'ULTIMO ESERCIZIO FINANZIARIO PER OGNI ENTE importi giacenze presso Banca Italia ultimi 3 anni e puntuale al 30/06/2021 per ogni ente Importi disponibili al di fuori della tesoreria Banca Italia ultimi 3 anni e puntuale al 30/6/21 per ogni ente numero dipendenti suddiviso tra personale medico e non medico numero bonifici extra SEPA disposti anni 2019 e 2020 nr. Sepa (SDD) emessi importo del flusso Sepa (SDD) in € numero carte di credito intestate ente Importo ANNUO dei prelievi dai 52 C/C Postale importo contanti versato annualmente in Cassa Tesoriere in € numero dei punti prelievo contante presso cui viene svolto il servizio di ritiro, contazione valori e cambio monete da parte società portavalori numero di viacard in possesso al 31/12/2020 versamento annuo moneta in cassa Tesoriere fideiussioni importo delle garanzie rilasciate ultimi 3 anni e numero 8) Si richiede la pubblicazione della seguente documentazione (per ogni Ente): • delibera di anticipazione di tesoreria ANNO 2021(in caso di assenza copia anno 2020) • lettera di richiesta del dirigente al tesoriere di attivazione anticipazione cassa anno 2021 (in caso di assenza copia anno 2020) • bilancio consuntivo 2020 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo; • bilancio pluriennale preventivo 2021 completo di tutti allegati, delibera approvazione da parte Regione ER e relazione dei revisori al consuntivo; • Elenco di tutti gli affidamenti bancari e per i mutui indicare: importo originario, debito residuo, data inizio e data scadenza mutuo, rata mutuo ALLEGATO 3 CLAUSOLE CONTRATTUALI SUPPLEMENTARI ALLE CLAUSOLE CONTRATTUALI STANDARD RELATIVE AI TRASFERIMENTI DA TITOLARE A RESPONSABILE, AL FINE DI PREVEDERE MISURE DI SALVAGUARDIA ADDIZIONALI, IN CONFORMITÀ ALL’ARTICOLO 46 DEL GDPR ED ALLA DECISIONE SCHREMS II Le presenti Clausole Contrattuali Supplementari ("Addendum") produttive di effetti dalla data della firma da ultimo apposta di seguito ("Data di Efficacia dell’Addendum") vengono sottoscritte da: [INSERIRE IL NOME DELLA SOCIETÀ CHE AGISCE IN QUALITÀ DI TITOLARE DEL TRATTAMENTO] (il "Titolare"), il quale agisce direttamente o per mezzo di un suo mandatario; e [INSERIRE IL NOME DELLA SOCIETÀ CHE DEVE SOTTOSCRIVERE/HA SOTTOSCRITTO LE CLAUSOLE CONTRATTUALI STANDARD IN QUALITÀ DI ESPORTATORE] (la "Società"), in qualità di parte delle Clausole Contrattuali Standard di cui all’Allegato 2, ciascuno, la "Parte" e, insieme, le "Parti". CONSIDERANDO A. Il presente Addendum costituisce parte integrante e sostanziale delle Clausole Contrattuali Standard sottoscritte in data [INSERIRE LA DATA DI SOTTOSCRIZIONE]. B. Considerando che l’Art. 46(1) del GDPR prevede che il Titolare possa trasferire i Dati Personali verso Paesi Terzi o verso un’organizzazione internazionale solo se ha fornito garanzie adeguate ed a condizione che gli Interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. C. Considerando che l’Art. 28(1) del GDPR prevede che, qualora un Trattamento debba essere effettuato per conto del Titolare, il Titolare ricorre unicamente a Responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in modo tale che il Trattamento soddisfi i requisiti del GDPR e venga garantita la tutela dei diritti dell'Interessato. D. Considerando che la Corte di Giustizia dell’Unione Europea ha adottato, in data 16 Luglio 2020, la decisione relativa al caso DPC v Facebook Ireland, Maximillian Schrems (Schrems II) stabilendo che i Titolari che intendono trasferire i Dati Personali verso un Paese Terzo o un’organizzazione internazionale devono verificare che le condizioni del trasferimento di cui alle clausole contrattuali standard (incluso il paese di destinazione) offrano garanzie adeguate alla tutela dei Dati Personali, in conformità al GDPR. E. Per le finalità di cui ai considerando da A a D, sopra, le Parti del presente Addendum hanno concordato di adottare alcune garanzie ulteriori ai fini del trasferimento dei Dati Personali da [INSERIRE LA DENOMINAZIONE DEL TITOLARE DEL TRATTAMENTO] alla Società. SI CONVIENE E SI STIPULA QUANTO SEGUE: alla luce delle reciproche obbligazioni di cui al presente Addendum, i seguenti termini e condizioni devono intendersi come un Addendum alle Clausole Contrattuali Standard di cui all’Allegato 2. Ove non diversamente disposto, qualsiasi riferimento nell’Addendum alle Clausole Contrattuali Standard deve intendersi relativo alle Clausole Contrattuali Standard come integrate dall’Addendum o da qualsiasi ulteriore addendum relativo ai diritti e agli obblighi di ciascuna Parte in materia di protezione dei dati personali. 1. DEFINIZIONI ED INTERPRETAZIONE DELL’ADDENDUM 1.1 Ai fini del presente Addendum, i termini successivamente indicati, ove riportati con la lettera maiuscola, hanno il seguente significato: per "Normativa sulla Protezione dei Dati Personali" si intende, ove applicabile: (a) il GDPR e (nei limiti delle previsioni non abrogate dal GDPR) la Direttiva 2002/58/CE (come recepita dalla normativa interna di ciascuno Stato Membro dello SEE); (b) qualsiasi altra legge, regolamento, codice di condotta, linea guida e parere in materia di protezione dei dati personali adottato da qualsiasi Autorità di Controllo competente o Istituzione Europea a cui [INSERIRE LA DENOMINAZIONE DEL TITOLARE DEL TRATTAMENTO] è soggetto, ciascuno di questi, come di volta in volta modificati, e qualsiasi normativa applicabile che attua, modifica, sostituisce o sospende l’applicazione degli atti sopra citati in ciascuno Stato Membro dello SEE; e (c) Normativa UK sulla Protezione dei Dati Personali; per “DPA” si intende l’accordo sulla protezione dei dati personali di cui l’Addendum costituisce un allegato; per "SEE" si intende lo Spazio Economico Europeo; per "UE" si intende l’Unione Europea; per "GDPR" si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati); per “Provvedimento Vincolante” si intende qualsiasi mandato di comparizione, richiesta obbligatoria e ordinanza giurisdizionale in ambito civile, amministrativo o penale adottato da un Organismo Pubblico, ivi inclusi, a titolo esemplificativo e non esaustivo, i mandati a comparire, le richieste e gli ordini emanati ai sensi di leggi, di regolamenti o di altra normativa locale, regionale, statale, nazionale o federale applicabile alla Società o al Sub-responsabile nel Paese Terzo; per “Clausole Contrattuali Standard” si intendono le Clausole Contrattuali Standard di cui all’Allegato 2; per "CCS Titolare -Responsabile" si intendono: (i) le clausole contrattuali standard approvate ed adottate dalla Commissione Europea ai fini del trasferimento di dati personali verso responsabili stabiliti in paesi terzi che non garantiscono un livello di protezione adeguato ai sensi della Decisione della Commissione Europea 2010/87/UE del 5 Febbraio 2010 relativa alle clausole contrattuali standard per il trasferimento dei dati personali a responsabili stabiliti in paesi terzi, come notificata con il documento numero C(2010) 593 o (ii); in relazione al Regno Unito, al termine del Periodo di Transizione, le clausole contrattuali standard relative al trasferimento dei dati personali dal Titolare al Responsabile previste: (a) dalla regolamentazione di cui all’art. 46(2)(c) dello UK GDPR; o (b) dal documento adottato (e non revocato) in conformità all’art. 46(2)(d) dello UK GDPR; per "Organismo Pubblico" si intende qualsiasi autorità locale, regionale, statale, nazionale o federale preposta all'applicazione della legge, organo legislativo, dipartimento governativo, agenzia o tribunale di qualsiasi Paese Terzo; per "Ragionevole Sforzo" si intende l'adozione di tutte le misure necessarie per raggiungere l'obiettivo preposto, compreso il compimento di qualsiasi azione utile e la messa a disposizione di risorse necessarie per raggiungere tale obiettivo entro i tempi previsti; per "Dati Personali Rilevanti" si intendono tutti i Dati Personali che la Società o ciascun Sub-responsabile tratta ai fini dell’esecuzione dei servizi, come individuati nel Contratto di Servizi, nel DPA, nelle Clausole Contrattuali Standard e nel presente Addendum; per "Sub-responsabile" si intende qualsiasi subappaltatore della Società, e qualsiasi affiliata o controllata, intendendosi, per affiliata o controllata, un'entità che possiede o controlla, è posseduta o controllata da, o è sotto il comune controllo della Società, situata all'interno o al di fuori dello SEE, alla quale la Società ha delegato, in tutto o in parte, il trattamento dei Dati Personali Rilevanti al solo scopo di fornire i servizi previsti nel Contratto di Servizi; per "Paese Terzo" si intende un paese che non è uno Stato Membro dello SEE, ivi inclusi, al termine del Periodo di Transizione (e in assenza di una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45(3) GDPR), il Regno Unito; per "Periodo di Transizione" si intende il periodo definito all'art. 126 dell'Accordo sul Recesso del Regno Unito dall'UE e dalla Comunità Europea dell’Energia Atomica del 24 gennaio 2020 (che decorre dalla data di entrata in vigore dell’Accordo e termina il 31 dicembre 2020); per "Regno Unito" si intende il Regno Unito di Gran Bretagna e Irlanda del Nord; e per "Normativa UK sulla Protezione dei Dati Personali" si intende il GDPR, come trasposto nel sistema normativo del Regno Unito ai sensi della sezione 3 dell’European Union (Withdrawal) Act 2018 e come modificato dal Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 ("UK GDPR"), insieme al Data Protection Act 2018, al Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 e all’altra normativa in materia di dati personali e privacy di volta in volta applicabile nel Regno Unito. Ai fini del presente Addendum e nei limiti in cui lo UK GDPR trovi applicazione, i riferimenti al GDPR si intendono fatti allo UK GDPR ed alle relative previsioni e i riferimenti alla normativa europea ed a quella degli Stati Membri si intendono fatti alla normativa del Regno Unito. 1.2. I termini "Titolare", "Valutazione d’Impatto sulla Protezione dei Dati", "Interessato", "Dato Personale", "Trattamento", "Responsabile", "Categorie Particolari di Dati Personali" e "Autorità di Controllo" hanno il medesimo significato loro attribuito dalla Normativa sulla Protezione dei Dati Personali applicabile. 1.3. I termini utilizzati con la lettera maiuscola e non definiti nel presente Addendum hanno il significato loro attribuito nel DPA. 2. AUTORITÀ 2.1 La Società dichiara e garantisce che, prima che il suo Sub-responsabile inizi il trattamento dei Dati Personali Rilevanti (ivi incluso, a titolo esemplificativo e non esaustivo, ai fini che interessano il Provvedimento Vincolante e/o la conservazione o divulgazione dei Dati Personali Rilevanti), sottoscriverà il presente Addendum con detto Sub-responsabile per conto del Titolare. Fermo restando quanto sopra, la Società rimarrà comunque responsabile nei confronti del Titolare per qualsiasi violazione del presente Addendum da parte del suo Sub-responsabile. Le garanzie previste nel presente Addendum si intendono addizionali rispetto a quelle di cui alle Clausole Contrattuali Standard. 3. OBBLIGHI DELLA SOCIETÀ IN RELAZIONE AL TRATTAMENTO DEI DATI PERSONALI RILEVANTI 3.1 Warrant Canary Durante l’intero periodo di efficacia del Contratto di Servizi ed entro il 5° giorno di ogni mese di calendario, se la Società e ciascuno dei suoi Sub-responsabili non hanno ricevuto alcun Provvedimento Vincolante per la divulgazione dei Dati Personali Rilevanti ad un Organismo Pubblico, la Società invierà una comunicazione scritta al Titolare certificando che, nel mese di calendario precedente, nessun Dato Personale Rilevante è stato divulgato e che nessun Dato Personale Rilevante rischia di essere divulgato ad un Organismo Pubblico. Trattamento dei Dati Personali Rilevanti al fine di adempiere ad un obbligo di legge 3.2 Nella misura in cui il Titolare è soggetto al GDPR e/o al GDPR UK, la Società e qualsiasi suo Sub-responsabile tratterà i Dati Personali Rilevanti solo su istruzioni documentate del Titolare, anche in caso di trasferimenti di Dati Personali Rilevanti verso un Paese Terzo o un'organizzazione internazionale, a meno che tale trasferimento non sia richiesto, in base al caso, dalla normativa europea o di uno Stato Membro o dalla normativa del Regno Unito a cui la Società e il suo Sub-responsabile sono soggetti; in tal caso, la Società ed il suo Sub-responsabile informeranno il Titolare di tale obbligo legale prima di procedere al trattamento, a meno che, in base al caso, la normativa europea o quella di uno Stato Membro o la normativa del Regno Unito non vieti tale comunicazione per importanti motivi di interesse pubblico. 3.3 Nel caso in cui la Società o un suo Sub-responsabile riceva un Provvedimento Vincolante in cui si richieda la comunicazione dei Dati Personali Rilevanti ad un Organismo Pubblico, la Società o il suo Sub-responsabile ricevente dovrà: (i) tentare di reindirizzare l’Organismo Pubblico che ha emesso tale Provvedimento Vincolante a richiedere la comunicazione dei Dati Personali Rilevanti direttamente al Titolare; (ii) informare prontamente il Titolare e fornire una copia del Provvedimento Vincolante, a meno che ciò non sia vietato dalla legge applicabile; (iii) fornire al Titolare la risposta al Provvedimento Vincolante, a meno che ciò non sia vietato dalla legge applicabile; (iv) effettuare tale comunicazione in qualità di autonomo titolare del trattamento; (v) effettuare tale comunicazione in conformità alla Normativa sulla Protezione dei Dati Personali (ove applicabile) ed alle Clausole Contrattuali Standard. Ulteriori garanzie contrattuali in relazione al trattamento dei Dati Personali Rilevanti 3.4 Per quanto possibile al fine di adempiere agli obblighi di cui al Contratto di Servizi, la Società ed il suo Sub-responsabile si impegnano a trattare i Dati Personali Rilevanti all’interno dell’UE. 3.5 La Società tratterà i Dati Personali Rilevanti nel pieno rispetto della Normativa sulla Protezione dei Dati Personali ed in conformità con le previsioni previste da tale normativa ed applicabili ai Responsabili. In particolare, la Società si impegna a: a) tenere un registro delle attività di Trattamento svolte per e per conto del Titolare. Tale registro deve contenere: ? il nome e i dati di contatto della Società ed il nome e i dati di contatto del Titolare; ? le attività di Trattamento effettuate per conto del Titolare; ? ove applicabile, i dettagli dei trasferimenti dei Dati Personali Rilevanti verso un Paese Terzo o un’organizzazione internazionale, inclusa l'indicazione del Paese Terzo o dell’organizzazione internazionale nonché la documentazione delle garanzie adeguate che la Società e i suoi Sub-responsabili autorizzati al trattamento dei Dati Personali Rilevanti hanno adottato per garantire che il trasferimento sia conforme ai requisiti della Normativa sulla Protezione dei Dati Personali; ? i dettagli delle misure tecniche e organizzative che la Società e i suoi Sub-responsabili autorizzati al Trattamento dei Dati Personali Rilevanti hanno adottato per garantire la sicurezza dei Dati Personali Rilevanti; b) su richiesta del Titolare, mettere a disposizione di quest’ultimo il registro delle attività di Trattamento di cui alla clausola 3.5(a) del presente Addendum entro 48 ore dalla richiesta del Titolare; c) designare un soggetto all’interno della propria organizzazione, in qualità di responsabile della protezione dei dati della Società. Tale soggetto sarà responsabile di assicurare che la Società rispetti gli obblighi assunti in materia di protezione dei dati, come stabiliti nel DPA, nelle Clausole Contrattuali Standard e nel presente Addendum. Detto responsabile della protezione dei dati dovrà conformarsi alla Normativa sulla Protezione dei Dati Personali relativa ai responsabili della protezione dei dati e sarà responsabile, tra gli altri, della supervisione del rispetto da parte della Società e dei suoi Sub-responsabili delle previsioni di cui alle Clausole Contrattuali Standard ed al presente Addendum. La Società garantisce che il soggetto designato presenta adeguate qualifiche professionali e una conoscenza esperta della Normativa sulla Protezione dei Dati Personali. La Società, su richiesta scritta del Titolare, metterà a disposizione del Titolare i dati di contatto di tale responsabile della protezione dei dati; d) nel caso in cui il trattamento dei Dati Personali Rilevanti venga effettuato da soggetti che non sono stabiliti all’interno dell’UE, designare un rappresentante stabilito all’interno dell’UE ("Rappresentante nell’UE") e nel Regno Unito ("Rappresentante nel Regno Unito"), ai sensi dell'art. 27 del GDPR. Oltre quanto sopra, i dati di contatto del Rappresentante nell'UE e del Rappresentante nel Regno Unito dovranno essere messi a disposizione del Titolare prima della o, in ogni caso, entro la Data di Efficacia dell’Addendum, in conformità alla Normativa sulla Protezione dei Dati Personali. 3.6 Qualora la Società e/o un Sub-responsabile della Società, il personale e/o qualsiasi altra entità, subappaltatore o individuo che agisce sotto le istruzioni della Società sia situato al di fuori dello SEE (di seguito, insieme alla Società, "Responsabili extra-SEE ") e necessiti di trattare i Dati Personali Rilevanti, tale trattamento dei Dati Personali Rilevanti: a) non dovrà comportare l'accesso ai Dati Personali Rilevanti in forma non criptata, salvo espressa autorizzazione del Titolare in tal senso; b) non dovrà comportare la disponibilità, la conservazione, la copia o qualsiasi altra duplicazione di Dati Personali Rilevanti (anche se criptati o pseudonimizzati) al di fuori dello SEE; c) se l’accesso ai Dati Personali Rilevanti in forma non criptata è autorizzato per iscritto dal Titolare, tale accesso dovrà avvenire attraverso virtual desktop infrastructure (VDI) e, in ogni caso, in conformità a quanto al precedente punto (b), sia in caso di: (i) VDI dei Responsabili extra-SEE per l’accesso ai Dati Personali Rilevanti; (ii) VDI del Titolare per l’accesso ai Dati Personali Rilevanti; e d) dovrà essere strettamente limitato, in quanto a tempo e portata, a quanto necessario per la fornitura dei servizi previsti dal Contratto di Servizi che non possono essere forniti dal personale della Società o dei suoi Sub-responsabili situati all’interno dello SEE. 3.7 Garanzie tecniche addizionali relative ai Dati Personali Rilevanti In caso di accesso ai Dati Personali Rilevanti di un Responsabile extra-SEE, la Società si impegna a: a) cifrare i Dati Personali Rilevanti "a riposo" e "in transito" utilizzando algoritmi non vulnerabili (ad es. AES256 e TLS, SSH). Nel caso di cifratura "a riposo", la cifratura deve essere implementata a livello dei dati (es. a livello di disco, file system, livello di applicazione). La cifratura deve essere conforme agli standard NIST aggiornati o a standard equivalenti. Inoltre, le chiavi di cifratura devono essere possedute e gestite dal Titolare (scenario BYOK - Bring Your Own Key) nonché le chiavi di cifratura devono essere mantenute in un archivio sicuro, sfruttando i dispositivi di gestione delle chiavi (ad es. HSM che utilizza le API PKCS#11) per garantirne la rigorosa segregazione; b) garantire una rigorosa segregazione logica o fisica tra i dati del Titolare e quelli degli altri clienti (ad es. multi-tenancy, macchine virtuali dedicate, database dedicati); c) ridurre al minimo il numero di archivi dei Dati Personali Rilevanti (es. banche dati, file, copie, archivi), evitando inutili duplicazioni; d) garantire l'integrazione con il sistema di gestione delle identità e degli accessi del Titolare in caso di accesso da parte del personale del Titolare in modo tale da consentire a quest’ultimo di gestire i processi di autenticazione degli utenti nonché i profili di accesso. Inoltre, la Società deve garantire al Titolare la possibilità di utilizzare identità federate secondo gli standard di mercato (es. SAML 2.0, ecc.); e) implementare un meccanismo di registrazione degli eventi (logging) per consentire al Titolare di accedere, su richiesta, ai registri relativi all'accesso e all'utilizzo dei sistemi informatici contenenti i Dati Personali Rilevanti, registrando l'ID di accesso, l'ora, il luogo, l'autorizzazione concessa o negata e l'attività rilevante; f) su richiesta del Titolare, fornire a quest’ultimo i registri relativi all’accesso e almeno l'elenco degli utenti abilitati all'accesso ai Dati Personali Rilevanti e i relativi diritti di accesso; e g) garantire l’adozione delle misure di sicurezza standard, di cui [INSERIRE IL NOME DELL’ALLEGATO TECNICO] allegato al Contratto di Servizi. 4 ULTERIORI GARANZIE 4.1 Se e nella misura in cui la Commissione Europea modifichi o sostituisca le CCS Titolare-Responsabile ai sensi dell'art. 46(5) del GDPR, le Parti convengono che tali clausole sostituiranno automaticamente le Clausole Contrattuali Standard. Le Parti si impegnano altresì ad adottare tutte le misure supplementari necessarie a garantire che tali clausole sostitutive siano applicate con riferimento a tutti i trasferimenti effettuati. 4.2 Nel caso in cui, in qualsiasi momento, un'Autorità di Controllo o un tribunale con giurisdizione nei confronti di una Parte preveda che i trasferimenti dai Titolari all’interno dello SEE ai Responsabili stabiliti al di fuori dello SEE debbano essere soggetti a specifiche misure di salvaguardie aggiuntive (incluse, a titolo esemplificativo e non esaustivo, specifiche misure tecniche ed organizzative), le Parti compiranno ogni Ragionevole Sforzo per adottare tali misure di salvaguardia e garantiranno che qualsiasi trasferimento dei Dati Personali Rilevanti sia condotto nel rispetto di tali misure di salvaguardia aggiuntive. 5 CONDIZIONI GENERALI 5.1 Clausola di ultrattività Qualsiasi obbligo imposto alla Società e ai suoi Sub-responsabili ai sensi del presente Addendum in relazione al Trattamento dei Dati Personali Rilevanti rimarrà in vigore anche dopo la cessazione o la scadenza del presente Addendum. 5.2 Inadempimento Qualsiasi violazione del presente Addendum costituisce una violazione sostanziale del DPA e delle Clausole Contrattuali Standard. 5.3 Prevalenza tra contratti Quanto previsto nel presente Addendum non limita gli obblighi della Società o dei suoi Sub-responsabili in relazione alla protezione dei Dati Personali Rilevanti ai sensi delle Clausole Contrattuali Standard e nemmeno consente alla Società ed ai suoi Sub-responsabili di trattare (o consentire il Trattamento) dei Dati Personali Rilevanti secondo modalità diverse da quelle di cui alle Clausole Contrattuali Standard. Fermo restando quanto previsto dalla presente clausola 5.3, con riferimento all'oggetto del presente Addendum, in caso di incompatibilità tra le disposizioni: (i) del presente Addendum; e (ii) delle Clausole Contrattuali Standard e di qualsiasi altro accordo tra le parti, le disposizioni delle Clausole Contrattuali Standard prevarranno. 5.4 Diritti di terzi Qualsiasi soggetto diverso dalle Parti del presente Addendum non ha il diritto di far valere alcun termine del presente Addendum; solo il Titolare può far valere qualsiasi termine esplicitamente o implicitamente inteso a suo vantaggio. I diritti delle Parti di rescindere o modificare il presente Addendum non sono soggetti al consenso di alcun soggetto diverso dal Titolare e dalla Società. 5.5 Legge applicabile e giurisdizione Il presente Addendum è disciplinato dalla legge dello Stato in cui ha sede il Titolare ed è soggetto alla giurisdizione esclusiva degli organi giurisdizionali dello Stato in cui ha sede il Titolare. IN FEDE DI CHE, il presente Addendum costituisce parte integrante e sostanziale delle Clausole Contrattuali Standard a decorrere dalla Data di Efficacia dell’Addendum, come sopra indicata. [Titolare] [Società] Firma: Firma: Nome: Nome: Titolo: Titolo: Data: Data: ALLEGATO MISURE DI SICUREZZA Il Responsabile del trattamento, per quanto di propria competenza, è tenuto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dal Regolamento UE 2016/679 (GDPR). Il Responsabile, in allineamento con il Titolare, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano in grado di ridurre il rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, nonché a ridurre il trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento. In particolare, il Responsabile si impegna a: 1) Adottare le misure tecniche e organizzative di cui all’art. 32 del Regolamento UE 2016/679 (GDPR) in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati. Tali misure comprendono, tra le altre, ove applicabili: • la pseudonimizzazione e la cifratura dei dati personali; • la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2) Garantire che chiunque agisca sotto la sua autorità e abbia accesso ai dati personali del Titolare, sia stato adeguatamente istruito in tema di responsabilità e riservatezza dei dati personali. In tale prospettiva il Responsabile attua un programma formale di formazione e sensibilizzazione dei dipendenti per rendere consapevole il personale delle politiche relative alla sicurezza dei dati. 3) In caso di violazione dei dati personali (ai sensi del Regolamento UE 2016/679 (GDPR), darne comunicazione al Titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza con ragionevole certezza. Il Responsabile deve altresì raccogliere e fornire al Titolare le seguenti informazioni: • una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; • il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; • una descrizione delle misure adottate o di cui si propone l'adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Resta inteso tra le parti che il Responsabile non notificherà al Titolare casi in cui il dato violato sia inutilizzabile e quindi non si configuri alcun rischio per i diritti e le libertà delle persone fisiche.

Risposta :

Relativamente ai quesiti posti :

1) Si conferma quanto previsto negli atti di gara; 

2) Si conferma quanto previsto negli atti di gara; 

3) Il Limite massimo di anticipazione dell’AUSL di Imola nel 2020  è pari a 24.500.000,00. La stessa AUSL non ha fatto ricorso nel 2020 all’anticipazione; 

4) Si conferma, fermo restando che il Tesoriere dovrà fungere da PSP per le transazioni che avvengono attraverso i POS delle macchine riscuotitrici; 

5) L’art. 5.2. del Disciplinare prevede che “La Convenzione potrà essere rinnovata fino ad ulteriori 12 mesi, agli stessi termini e condizioni, su comunicazione scritta dell’Agenzia da effettuarsi entro il 30/06/2025. In caso di rinnovo della Convenzione gli ordinativi saranno rinnovati fino alla nuova scadenza della Convenzione stessa. La durata degli Ordinativi di fornitura in corso di esecuzione (anche in seguito al rinnovo di cui sopra) potrà essere modificata per un massimo di sei mesi e per il tempo strettamente necessario alla conclusione delle procedure necessarie per l’individuazione del nuovo contraente ai sensi dell’art. 106, comma 11, del Codice. In tal caso il contraente è tenuto all’esecuzione delle prestazioni oggetto della Convenzione quadro agli stessi - o più favorevoli - prezzi, patti e condizioni”. Il Fornitore è quindi tenuto ad accettare sia il rinnovo che la proroga; 

6) Il par. 16 del Capitolato tecnico prevede: “Il Tesoriere dovrà concordare in appositi accordi con le singole Aziende Sanitarie le modalità di trattamento dei dati nel rispetto delle rispettive policy di gestione.” Pertanto le Aziende Sanitarie non sono tenute alla sottoscrizione di documenti proposti dal Fornitore ma le clausole devono essere concordate.

7) Nel Capitolato e nei relativi allegati sono stati forniti i dati necessari per l’elaborazione dell’offerta. Ulteriori dati verranno forniti al Fornitore aggiudicatario; 

8) Le Aziende Sanitarie adottano atti per determinare annualmente l’anticipazione massima di cassa calcolata sulla base dei bilanci di previsione e di quanto previsto all’art. 2 punto 1 comma g) del Dlgs n. 229 del 19/6/99. I valori dell’anticipazione massima per il 2020 e il 2019 sono riportati nel capitolato.

I Bilanci di previsione 2021 non sono disponibili; i bilanci consuntivi 2020 sono stati approvati con la Delibera di Giunta n. 201 del 26/07/2021 e verranno pubblicati sul sito indicato nel Capitolato Tecnico secondo i termini di legge. Qualora di desideri acquisirli prima, occorre fare richiesta all’indirizzo felicia.ilgrande@regione.emilia-romagna.it e p.c.   andrea.puddu@regione.emilia-romagna.it

Per quanto riguarda gli altri dati richiesti nel Capitolato e nei relativi allegati sono stati forniti i dati necessari per l’elaborazione dell’offerta. Ulteriori dati verranno forniti al Fornitore aggiudicatario

Domanda : Si chiede conferma che tutte le operazioni bancarie eseguite in forza del servizio di cassa espletato per conto delle aziende sanitarie saranno eseguite in applicazione della direttiva sui servizi di pagamento 2015/2366/UE del Parlamento Europeo e del consiglio del 25 novembre 2015 (PSD2), recepita con il decreto legislativo 15 dicembre 2017, n. 218 come sancito dalla circolare n. 22 del 15 giugno 2018 del Ministero dell’Economia e delle Finanze Si chiede conferma che i dati relativi agli incassi PagoPA da comunicare alle Aziende saranno quelli in possesso della Banca cassiera e che solo in caso di nomina della Banca quale Partner Tecnologico ai fini PagoPA il cassiere sarà chiamato ad integrare tali informazioni ai fini della riconciliazione Relativamente ai pagamenti dei contributi economici effettuati dalla Banca cassiera si chiede conferma che possano essere effettuati oltre che a mezzo assegno circolare o assegno postale localizzato, anche con mezzi equipollenti. Si chiede una stima del numero e dell’importo annuo di tali pagamenti. In relazione all’ All’art. 21 del Capitolato Tecnico per “Bonifici extra SEPA: commissione fissa pari a euro 2,00 vi chiediamo conferma che si intendono esclusivamente le commissioni della Banca Tesoriera relativamente ai pagamenti in partenza disposti dalle Aziende. Si chiede conferma che per la determinazione del canone annuo da corrispondere da parte delle aziende sanitarie si debba fare riferimento all’importo massimo dell’anticipazione richiedibile ai sensi dell’art. 2 punto 1 comma g) del DLGS n. 229 del 19/06/1999 relativa all’anno di competenza

Risposta : 1) Si conferma;