ASSESSORATO DELLA SALUTE
DECRETO 4 aprile 2025, n. 394
G.U.R.S. 18 aprile 2025, n. 18
Nomina del responsabile esterno ed istruzioni per il trattamento dei dati personali relativi all'attuazione del "Piano annuale di Formazione dell'OTA (PF_OTA) 2025".
IL DIRIGENTE GENERALE DEL DIPARTIMENTO REGIONALE PER LE ATTIVITA' SANITARIE E OSSERVATORIO EPIDEMIOLOGICO
Visto lo Statuto della Regione Siciliana;
Viste la legge regionale 29 dicembre 1962, n. 28 e la legge regionale 10 aprile 1978, n. 2;
Visto il d.lgs. 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali";
Visto il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla "Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE" e, in particolare, l'art. 27 "Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione" e l'art. 28 "Responsabile del trattamento", commi 2 e 4;
Visto il d.lgs. 10 agosto 2018, n. 101 "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27/4/2016";
Vista la deliberazione della Giunta regionale di Governo 28 maggio 2018, n. 203 "Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27/4/2016 - nomina del Responsabile per la protezione dei dati";
Vista la deliberazione della Giunta Regionale di Governo 29 novembre 2018 n. 483, "Regolamento UE 2016/679 - Adozione delle prime istruzioni organizzative e tecniche per il trattamento dei dati personali, di una procedura di risposta e di un questionario di autovalutazione";
Vista la deliberazione della Giunta Regionale di Governo 8 agosto 2019 n. 297, "Regolamento UE 2016/679 - Organizzazione dell'Amministrazione regionale per gli adempimenti in materia di privacy" concernente la delega ai Responsabili del trattamento da parte del Presidente e degli Assessori regionali dei poteri che riguardano adempimenti operativi, quali la nomina dei sub-Responsabili;
Visto il D.P.Reg. 12 giugno 2018, n. 569 con il quale è stato nominato il Responsabile della protezione dei dati per la Regione Siciliana;
Visto il D.P.Reg. del 21 gennaio 2025 n. 14/A1/S.G. con il quale la Dr.ssa Daniela Faraoni è stata nominata Assessore regionale della Salute;
Visto il D.P.Reg. del 18 dicembre 2024 n. 6069, con il quale, in esecuzione della Deliberazione della Giunta regionale del 11 dicembre 2024, n. 430, al Dott. Giacomo Scalzo, Dirigente di terza fascia dell'Amministrazione regionale, è stato conferito l'incarico di Dirigente Generale del Dipartimento Attività sanitarie ed Osservatorio Epidemiologico dell'Assessorato Regionale della Salute;
Visto il D.A. del 16 gennaio 2025 n. 2 con il quale l'Assessore della, nella qualità di Titolare del trattamento, ha conferito al dirigente generale del suddetto dipartimento regionale, l'incarico di Responsabile dei trattamenti di dati personali che rientrano tra le competenze dello stesso dipartimento, con facoltà di ricorrere ad altri soggetti responsabili ai quali affidare in tutto o in parte il trattamento dei dati, ai sensi dell'art. 28 del Regolamento UE 2016/679 del 27 aprile 2016;
Visto il D.D.G. 4 aprile 2025 n. 393 con il quale è stato approvato il "Piano annuale di Formazione dell'OTA (PF_OTA) 2025";
Considerato che, qualora un soggetto sia chiamato ad eseguire una o più attività di trattamento di dati personali per conto del Titolare, è necessario nominarlo Responsabile esterno del trattamento dei dati ai sensi dell'art. 28 del Regolamento UE 2016/679 del 27 aprile 2016, attribuendogli le relative competenze;
Considerato che il Responsabile esterno del trattamento dei dati, è obbligato ad adottare le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente e alle istruzioni fornite dall'Amministrazione;
Ritenuto di dover individuare, ai sensi dell'art. 28 del Regolamento UE 2016/679 del 27 aprile 2016, il CEFPAS - Centro per la Formazione Permanente e l'Aggiornamento del personale del Servizio Sanitario della Regione Siciliana con sede legale a Caltanissetta Via Giuseppe Mulè,1 P.IVA 01427360852, quale Responsabile esterno del trattamento dei dati personali relativi alla attuazione del "Piano annuale di Formazione dell'OTA (PF_OTA) 2025";
Decreta:
Nomina
1. Ai sensi dell'art. 28 del Regolamento UE 2016/679 del 27 aprile 2016 (nel seguito "GDPR"), il CEFPAS - Centro per la Formazione Permanente e l'Aggiornamento del personale del Servizio Sanitario della Regione Siciliana con sede legale a Caltanissetta Via Giuseppe Mulè,1 P.IVA 01427360852, è individuato quale Responsabile esterno del trattamento dei dati personali relativi alla attuazione del "Piano annuale di Formazione dell'OTA (PF_OTA) 2025" approvato con D.D.G. 4 aprile 2025 n. 393.
2. Il Responsabile esterno ha facoltà di designare sub-Responsabili del trattamento le società o i soggetti subappaltanti, previa autorizzazione scritta da parte dell'Assessorato regionale della Salute nella qualità di Titolare del trattamento dei dati.
3. Il Responsabile esterno effettua il trattamento dei dati di cui all'allegato "A" al presente decreto nei limiti e nel rispetto delle finalità per cui sono stati raccolti. La nomina di Responsabile esterno ha validità dalla data di inizio operatività fino al completamento delle attività connesse alla attuazione del "Piano annuale di Formazione dell'OTA (PF_OTA) 2025" o fino alla revoca anticipata per qualsiasi motivo da parte dell'Amministrazione, fermo restando che, anche successivamente alla cessazione del Contratto o alla revoca, il Responsabile esterno dovrà mantenere la massima riservatezza sui dati e le informazioni delle quali sia venuto a conoscenza nell'adempimento delle sue obbligazioni.
Obblighi
1. Il Responsabile esterno ha facoltà, nell'ambito dell'esecuzione del Contratto, di procedere alla nomina degli autorizzati al trattamento dei dati personali, mediante apposito atto di designazione. Per autorizzato si intende qualsiasi unità di personale interna al CEFPAS che, adeguatamente formata, sia stata autorizzata al trattamento dei dati personali secondo le direttive e istruzioni impartite dall'Ente stesso. Il Responsabile esterno fornisce all'Amministrazione l'elenco degli autorizzati.
2. Il Responsabile esterno, nell'ambito dell'esecuzione del Contratto, ha l'obbligo di mettere in atto le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente, tenendo conto delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
3. Il Responsabile esterno si atterrà alle misure di sicurezza indicate dall'Amministrazione, di cui all'Allegato "B" al presente decreto, nonché di quelle specificate nell'incarico e nei relativi allegati e da ogni ulteriore comunicazione in merito.
4. Il Responsabile esterno ha l'onere di informare l'Amministrazione di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori sub-Responsabili. L'Amministrazione, avrà il diritto di opporsi a tali modifiche, comunicando la propria opposizione per iscritto entro 10 giorni dalla notifica da parte del Responsabile esterno. Il Responsabile esterno non ricorrerà ai sub-Responsabili nei cui confronti l'Amministrazione abbia manifestato la propria opposizione. Resta inteso che, in mancanza di opposizione, la modifica si intenderà accettata. Il Responsabile esterno impone al sub-Responsabile con apposito atto, gli stessi obblighi in materia di protezione dei dati che sono posti a suo carico in forza del presente decreto e vigila sul loro rispetto. Il Responsabile esterno rimarrà direttamente responsabile nei confronti dell'Amministrazione in ordine alle azioni ed alle omissioni dei propri sub-Responsabili ed ha l'onere di assicurare che il sub-Responsabile presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l'adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del GDPR.
Oneri e Responsabilità
1. Il Responsabile esterno assiste l'Amministrazione in tutte le operazioni di sua competenza, inclusa quella di fornire risposta alla richiesta di esercizio dei diritti degli interessati, e ha l'onere di svolgere compiti di direzione e coordinamento sul corretto trattamento dei dati personali.
2. Il Responsabile esterno ha, altresì, l'onere di:
a. mettere in atto misure tecniche e organizzative atte a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali per conto dell'Amministrazione è effettuato in conformità al GDPR;
b. adottare misure tecniche e organizzative idonee a garantire la sicurezza dei locali e delle postazioni di lavoro dei soggetti autorizzati a trattare i dati personali;
c. fornire ai propri dipendenti e collaboratori autorizzati le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività;
d. non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'ambito delle attività contrattuali;
e. predisporre ed aggiornare sistematicamente il proprio registro delle attività di trattamento dei dati personali trattati per conto dell'Amministrazione ed assistere quest'ultima nell'aggiornamento del registro delle categorie di trattamento e del registro delle categorie di attività di trattamento;
f. cooperare, su richiesta dell'Amministrazione, con il Garante della protezione dei dati personali (nel seguito "Autorità Garante") nell'esecuzione dei suoi compiti;
g. fornire assistenza all'Amministrazione per la gestione del consenso degli interessati al trattamento dei dati personali;
h. fornire assistenza all'Amministrazione per informare in maniera trasparente gli interessati sulla modalità di gestione e di protezione dei relativi dati personali trattati;
i. fornire assistenza all'Amministrazione per la gestione le richieste degli interessati sui propri dati personali trattati per conto del Titolare;
j. fornire assistenza all'Amministrazione per l'analisi del rischio sui dati personali trattati;
k. fornire assistenza all'Amministrazione per la valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del GDPR (data protection impact assessment o DPIA), laddove l'Amministrazione ritenga che ne ricorrano i requisiti;
l. comunicare all'Amministrazione i dati di contatto del proprio Responsabile della protezione dei dati, qualora, in ragione dell'attività svolta, ne abbia designato uno conformemente all'articolo 37 del GDPR; il Responsabile esterno collabora e si tiene in costante contatto con il Responsabile della protezione dei dati della Regione Siciliana, rispondendo prontamente alle sue richieste;
m. collaborare con l'Amministrazione e con il Responsabile della protezione dei dati della Regione Siciliana nell'attuazione delle ispezioni interne organizzative e tecniche volte alla verifica dell'attuazione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR;
n. comunicare i luoghi dove sono memorizzati i dati, le loro copie e i sistemi che li trattano, e impegnarsi a non trasferirli in paese terzo rispetto la Unione europea;
o. fornire assistenza all'Amministrazione nell'aggiornamento della informativa da rendere agli interessati ai sensi degli art. 13 e 14 del GDPR in merito al trattamento in argomento;
p. rendere disponibili tutte le informazioni necessarie per dimostrare il rispetto degli adempimenti previsti dal GDPR;
q. informare immediatamente l'Amministrazione qualora, a suo parere, un'istruzione dalla stessa fornita violi il GDPR o altre norme applicabili in materia di protezione dei dati;
r. ove risulti che le misure adottate dal Responsabile esterno o da un sub-Responsabile non siano idonee ad assicurare l'applicazione del GDPR o che siano non siano correttamente applicate, adottare e far adottare al sub-Responsabile tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all'occorrenza fissato dall'Amministrazione. In caso di mancato adeguamento, l'Amministrazione potrà, in ragione della gravità della condotta e fatta salva la possibilità di fissare un ulteriore termine per l'adempimento, revocare l'incarico con il Responsabile esterno ed escutere l'eventuale garanzia prestata, salvo il risarcimento del maggior danno.
3. Il Responsabile esterno informa l'Amministrazione (inviando una comunicazione a mezzo PEC), senza ingiustificato ritardo e comunque entro 24 ore dal momento in cui ne è venuto a conoscenza, in merito a qualsiasi elemento che possa compromettere il corretto trattamento dei dati personali e ad ogni violazione della sicurezza (data breach) che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione all'Amministrazione in relazione all'adempimento degli obblighi, sullo stesso gravanti, di notifica delle suddette violazioni all'Autorità Garante ai sensi dell'art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell'art. 34 dello stesso Regolamento. Inoltre ha l'obbligo di comunicare le prime misure organizzative e tecniche adottate per porre rimedio alla violazione dei dati personali e per minimizzare gli effetti negativi e di proporre all'Amministrazione l'adozione di ulteriori misure di sicurezza non immediatamente attuabili. Il Responsabile esterno fornisce all'Amministrazione tutto il necessario supporto e la collaborazione per il riscontro alle richieste di informazioni aggiuntive da parte dell'Autorità Garante.
4. Il Responsabile esterno manleva e tiene indenne l'Amministrazione da qualsiasi danno, pretesa, risarcimento, e/o sanzione che possa derivare dalla mancata osservanza degli obblighi e più in generale dalla violazione della normativa sulla tutela dei dati personali, nonché per le conseguenze derivanti dagli inadempimenti o inosservanze delle istruzioni di cui all'Allegato B al presente provvedimento o di quelle successive eventualmente trasmesse per iscritto per conto dell'Amministrazione.
5. Il Responsabile esterno, all'espletamento dell'incarico o, comunque, in caso di cessazione per qualunque causa dell'efficacia della nomina a Responsabile esterno, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario sarà tenuto ad interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta dell'Amministrazione, all'immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un'attestazione scritta che presso lo stesso Responsabile esterno non ne esiste alcuna copia. Il Responsabile esterno fornisce assicurazione che allo stesso comportamento si sono adeguati i sub-Responsabili dallo stesso nominati. In caso di richiesta scritta dell'Amministrazione, il Responsabile esterno è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione dei dati.
Il presente decreto sarà pubblicato in forma integrale nella Gazzetta Ufficiale della Regione Siciliana e sul sito web dell'Assessorato della Salute - Dipartimento per le Attività Sanitarie e Osservatorio Epidemiologico.
Palermo, 4 aprile 2025.
SCALZO