ASSESSORATO DELLA SALUTE
DECRETO 23 gennaio 2024, n. 29
G.U.R.S. 9 febbraio 2024, n. 8
Nomina del responsabile esterno del trattamento dei dati personali relativi alle "Linee di indirizzo per la sperimentazione dei nuovi servizi nella farmacia di comunità".
L'ASSESSORE PER LA SALUTE
Visto lo Statuto della Regione siciliana;
Viste la Legge regionale 29 dicembre 1962, n. 28 e la Legge regionale 10 aprile 1978, n. 2;
Vista la Legge regionale 8 luglio 1977, n. 47 recante "Norme in materia di bilancio e contabilità della Regione Siciliana";
Vista la Legge Regionale 12 agosto 2014, art. 68, comma 4 inerente l'obbligo di pubblicazione dei decreti assessoriali sul sito internet della Regione Siciliana;
Visto il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla "Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE" e, in particolare, l'art. 27 recante "Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione" e l'art. 28 recante "Responsabile del trattamento", commi 2 e 4;
Visto il D.lgs. 10 agosto 2018, n. 101 recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27-4-2016";
Vista la deliberazione della Giunta regionale di Governo 28 maggio 2018, n. 203 "Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27-4-2016 - nomina del Responsabile per la protezione dei dati";
Vista la deliberazione della Giunta Regionale di Governo 29 novembre 2018 n. 483, recante "Regolamento UE 2016/679 - Adozione delle prime istruzioni organizzative e tecniche per il trattamento dei dati personali, di una procedura di risposta e di un questionario di autovalutazione"
Visto il D.P. Reg. n. 777/AREA 1/S.G. del 15 novembre 2022 con il quale la Dott.ssa Giovanna Volo è stata nominata Assessore regionale per la Salute;
Visto il D.P. Reg. n. 569 del 12 giugno 2018 con il quale è stato nominato il "Responsabile della protezione dei dati" per la Regione Siciliana;
Visto il D.P. Reg. n. 1665 del 04 maggio 2023 con il quale è stato conferito l'incarico di Dirigente Generale del Dipartimento regionale al Dott. Salvatore Iacolino;
Visto il D.A. n. 26 del 22 maggio 2023 con il quale il dott. Salvatore Iacolino, è stato nominato Responsabile dei trattamenti di dati personali che rientrano tra le competenze del Dipartimento regionale Pianificazione Strategica, con facoltà di ricorrere ad altri soggetti responsabili ai quali affidare in tutto o in parte il trattamento dei dati, ai sensi dell'art. 28 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016;
Visto il D.A. n. 2044 del 14 novembre 2019, con il quale l'Assessorato della Salute ha recepito l'Accordo tra il Governo, le Regioni e le Province Autonome di Trento e Bolzano del 17 ottobre 2019, Rep. Atti n. 167/CSR, ai sensi dell'art. 4 del D.lgs 281/1997 su "Linee di indirizzo per la sperimentazione dei nuovi servizi nella farmacia di Comunità" di cui all'articolo 1, commi 403 e 406 della legge 205/2017;
Visto il D.A. n. 1082 del 22 novembre 2022, con il quale è stata recepita l'Intesa Stato-Regioni del 30 marzo 2022, Rep. Atti n. 41/CSR, sulla proposta di deliberazione del CIPESS, relativa alla ripartizione del finanziamento, a valere sul Fondo Sanitario Nazionale 2021- 2022, destinato alla proroga ed alla estensione della sperimentazione per la remunerazione delle prestazioni e delle funzioni assistenziali previste dall'articolo 1 del decreto legislativo n. 153 del 2009, erogate dalle farmacie con oneri a carico del Servizio Sanitario Nazionale;
Vista la nota prot. n. 44019 del 29 settembre 2022, con la quale è stato trasmesso, alla Direzione Generale della Programmazione Sanitaria del Ministero della Salute, il cronoprogramma inerente le "Linee di indirizzo per la sperimentazione dei nuovi servizi nella farmacia di Comunità" di cui all'articolo 1, commi 403 e 406 della legge 20 dicembre 2017 [N.d.R. recte: legge 27 dicembre 2017];
Considerato che ai fini dell'attuazione della suddetta sperimentazione l'Assessorato della Salute nella qualità di titolare del trattamento dei dati, ha deciso di avvalersi della piattaforma informatica denominata DottorFarma ideata e realizzata dalle società Promofarma S.r.l. e da Qwince Innovation s.r.l.;
Considerato che qualora il fornitore sia chiamato ad eseguire le attività di trattamento di dati personali per conto del Titolare, è necessario nominarlo Responsabile esterno del trattamento dei dati ai sensi dell'art. 28 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27-4-2016, attribuendogli le relative competenze;
Considerato che il fornitore, nella qualità di Responsabile esterno del trattamento dei dati, sia obbligato ad adottare le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente e alle istruzioni fornite dall'Amministrazione;
Ritenuto quindi, di dover individuare, ai sensi dell'art. 28 del regolamento UE 2016/679, la Promofarma S.r.l., con sede a Roma, in via Emanuele Filiberto 190, codice fiscale e P. IVA 05317231008 e la Qwince Innovation s.r.l., con sede con sede a Palermo, in via Catania, 5, codice fiscale e P. IVA IT05585930828, quali Responsabili esterni del trattamento dei dati personali relativi alla sperimentazione dei servizi in Farmacia ai sensi dell'Accordo stipulato in sede di Conferenza tra il Governo, le Regioni e le Province Autonome di Trento e Bolzano del 17 ottobre 2019, che approva il documento recante "linee di indirizzo per la Sperimentazione dei nuovi servizi nella farmacia di Comunità" di cui all'articolo 1, commi 403 e 406 della legge 20 dicembre 2017, n. 205 [N.d.R. recte: legge 27 dicembre 2017, n. 205], recepito dalla Regione siciliana con D.A. n. 2044 del 14/11/2019;
Decreta:
Nomina
1. Ai sensi dell'art. 28 del Regolamento UE 2016/679, le società Promofarma S.r.l., con sede a Roma, in via Emanuele Filiberto 190, codice fiscale e P. IVA 05317231008 e la Qwince Innovation s.r.l., con sede con sede a Palermo, in via Catania, 5, codice fiscale e P. IVA IT05585930828 in persona dei legali rappresentanti pro-tempore, sono individuati Responsabili esterni del trattamento dei dati personali relativi alla sperimentazione dei servizi in Farmacia ai sensi dell'Accordo stipulato in sede di Conferenza tra il Governo, le Regioni e le Province Autonome di Trento e Bolzano del 17 ottobre 2019, che approva il documento recante "linee di indirizzo per la Sperimentazione dei nuovi servizi nella farmacia di Comunità" di cui all'articolo 1, commi 403 e 406 della legge 20 dicembre 2017, n. 205 [N.d.R. recte: legge 27 dicembre 2017, n. 205], recepito dalla Regione siciliana con D.A. n. 2044 del 14/11/2019.
2. Il Responsabile esterno ha facoltà di designare sub-Responsabili del trattamento, informando il Titolare del trattamento dei dati.
3. Il Responsabile esterno effettua il trattamento dei dati di cui all'Allegato A del presente provvedimento nei limiti e nel rispetto delle finalità per cui sono trattati. La nomina di Responsabile esterno ha validità dalla data di inizio della fase attuativa della sperimentazione e per tutta la durata della stessa o fino alla revoca anticipata per qualsiasi motivo da parte del Titolare, fermo restando che, anche successivamente alla cessazione del la sperimentazione o alla revoca, il Responsabile esterno dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell'adempimento delle sue obbligazioni.
Obblighi
1. Il Responsabile esterno ha facoltà, di procedere alla nomina degli autorizzati al trattamento dei dati personali, mediante apposito atto di designazione. Per autorizzato si intende qualsiasi unità di personale interna alla Società, che sia autorizzata al trattamento dei dati personali secondo le direttive e istruzioni impartite dalla Società stessa. Il Responsabile esterno fornisce all'Assessorato regionale della Salute l'elenco degli autorizzati.
2. Il Responsabile esterno ha l'obbligo di mettere in atto le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente, tenendo conto delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
3. Il Responsabile esterno si deve attenere alle misure di sicurezza indicate dall'Assessorato regionale della Salute, di cui all'Allegato B al presente provvedimento, nonché di quelle specificate all'art. 1 e nei relativi allegati.
4. Il Responsabile esterno ha l'onere di informare il Titolare di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori sub-Responsabili. Il Titolare, avrà il diritto di opporsi a tali modifiche, comunicando la propria opposizione per iscritto entro 10 giorni dalla notifica da parte del Responsabile esterno. Il Responsabile esterno non ricorrerà ai sub-Responsabili nei cui confronti il Titolare abbia manifestato la propria opposizione. Resta inteso che, in mancanza di opposizione, la modifica si intenderà accettata. Il Responsabile esterno impone al sub-Responsabile con apposito atto, gli stessi obblighi in materia di protezione dei dati che sono posti a suo carico in forza del presente atto e vigila sul loro rispetto. Il Responsabile esterno rimarrà direttamente responsabile nei confronti del Titolare in ordine alle azioni ed alle omissioni dei propri sub-Responsabili ed ha l'onere di assicurare che il sub-Responsabile presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l'adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del Regolamento UE.
Oneri e Responsabilità
1. Il Responsabile esterno assiste il Titolare in tutte le operazioni di sua competenza, inclusa quella di fornire risposta alla richiesta di esercizio dei diritti degli interessati, e ha l'onere di svolgere compiti di direzione e coordinamento sul corretto trattamento dei dati personali.
2. Il Responsabile esterno ha, altresì, l'onere di:
a. mettere in atto misure tecniche e organizzative atte a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali per conto del Titolare è effettuato in conformità al Regolamento Europeo UE 2016/679;
b. adottare misure tecniche e organizzative idonee a garantire la sicurezza dei locali e delle postazioni di lavoro;
c. fornire ai propri dipendenti e collaboratori deputati a trattare i dati personali le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività;
d. predisporre ed aggiornare sistematicamente il registro delle attività di trattamento dei dati personali trattati per conto del Titolare ed assistere il Titolare nell'aggiornamento del suo Registro delle categorie di trattamento e il Dipartimento Pianificazione Strategica dell'Assessorato della Salute nell'aggiornamento del Registro delle categorie di attività di trattamento;
e. cooperare, su richiesta, assieme al Titolare, con l'Autorità garante della protezione dei dati personali (Autorità Garante) nell'esecuzione dei suoi compiti;
f. fornire assistenza al Titolare per la gestione del consenso degli interessati al trattamento dei dati personali;
g. fornire assistenza al Titolare per informare in maniera trasparente gli interessati sulla modalità di gestione e di protezione dei relativi dati personali trattati;
h. fornire assistenza al Titolare per la gestione delle richieste degli interessati sui propri dati personali trattati per conto del titolare;
i. fornire assistenza al Titolare per l'analisi del rischio sui dati personali trattati;
j. fornire assistenza al Titolare per la valutazione d'impatto dell'eventuale uso di nuove tecnologie sulla sicurezza dei dati personali trattati (data protection impact assessment o DPIA o VIP);
k. comunicare al Titolare i dati di contatto del proprio "Responsabile della protezione dei dati", qualora, in ragione dell'attività svolta, ne abbia designato uno conformemente all'articolo 37 del Regolamento UE 679/2016; il Responsabile esterno collabora e si tiene in costante contatto con il Responsabile della protezione dei dati della Regione Siciliana;
l. collaborare con il Titolare e con il Responsabile della protezione dei dati della Regione Siciliana nell'attuazione delle ispezioni interne organizzative e tecniche volte alla verifica dell'attuazione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento UE 2016/679;
m. comunicare i luoghi dove sono memorizzati i dati, le loro copie e i sistemi che li trattano, e impegnarsi a non trasferirli in paese terzo rispetto la UE;
n. fornire assistenza al Titolare nell'aggiornamento della informativa da rendere agli interessati ai sensi degli art. 13 e 14 del Regolamento UE 679/2016 in merito al trattamento in argomento;
o. rendere disponibili tutte le informazioni necessarie per dimostrare il rispetto degli adempimenti previsti dal Regolamento Europeo UE 2016/679;
p. ove risulti che le misure adottate dal Responsabile o da un sub-Responsabile non siano idonee ad assicurare l'applicazione del Regolamento UE 679/2016 o che non siano correttamente applicate, l'Amministrazione diffiderà il Responsabile ad adottare e far adottare al sub-Responsabile tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all'occorrenza fissato. In caso di mancato adeguamento a tale diffida, l'Amministrazione potrà, in ragione della gravità della condotta e fatta salva la possibilità di fissare un ulteriore termine per l'adempimento, risolvere il Contratto di cui all'art. 1 con il Responsabile esterno ed escutere la garanzia l'eventuale garanzia prestata, salvo il risarcimento del maggior danno.
3. Il Responsabile esterno ha l'obbligo di informare il Titolare (inviando una comunicazione a mezzo PEC), senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza (data breach) che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al Titolare in relazione all'adempimento degli obblighi, sullo stesso gravanti, di notifica delle suddette violazioni all'Autorità Garante ai sensi dell'art. 33 del Regolamento UE 679/2016 o di comunicazione della stessa agli interessati ai sensi dell'art. 34 dello stesso Regolamento. Inoltre comunica le prime misure organizzative e tecniche adottate per porre rimedio alla violazione dei dati personali e per minimizzare gli effetti negativi e propone al Titolare l'adozione di ulteriori misure di sicurezza non immediatamente attuabili. Il Responsabile esterno fornisce al Titolare tutto il necessario supporto e la collaborazione per il riscontro alle richieste di informazioni aggiuntive da parte dell'Autorità Garante.
4. Il Responsabile esterno è responsabile per i danni conseguenti a inadempimenti o inosservanze delle istruzioni di cui all'Allegato B al presente provvedimento o di quelle successive eventualmente trasmesse per iscritto dall'Assessorato regionale della Salute.
5. Il Responsabile esterno, alla scadenza del Contratto di cui all'art. 1 o, comunque, in caso di cessazione - per qualunque causa - dell'efficacia del presente atto di nomina, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei dati personali, è tenuto ad interrompere ogni operazione di trattamento degli stessi e deve provvedere, a scelta del Titolare, all'immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un'attestazione scritta che presso lo stesso Responsabile esterno non ne esiste alcuna copia. Il Responsabile esterno fornisce assicurazione che allo stesso comportamento si sono adeguati i sub-Responsabili dallo stesso nominati. In caso di richiesta scritta del Titolare, il Responsabile esterno è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione dei dati.
Il presente decreto sarà pubblicato in forma integrale nella Gazzetta Ufficiale della Regione Siciliana e sul sito web dell'Assessorato della Salute.
Palermo, 23 gennaio 2024.
VOLO