Accordo sul Trattamento dei Dati Personali

1. Ambito di Applicazione

Il presente Accordo sul Trattamento dei Dati Personali (d'ora in poi “Accordo”) disciplina il trattamento dei dati personali che Healthium - Healthcare Software Solutions, S.A. (d'ora in poi il “Subcontraente”) in nome e per conto del soggetto, sia esso persona fisica o giuridica, che si abbona al servizio di Nutrium, attraverso il sito web di Nutrium, allo scopo di fornire servizi di nutrizione clinica e nutrizione correlata (d'ora in poi il “Responsabile del Trattamento”), insieme indicati come le “Parti”. Di conseguenza, considerando che:

1. Le Parti hanno stipulato un contratto per la prestazione di servizi, nei termini meglio definiti nei Termini e Condizioni di utilizzo di Nutrium per i Professionisti;
2. La fornitura di servizi da parte del Subcontraente implica il trattamento di dati personali effettuato da quest'ultimo in nome e per conto del Responsabile del Trattamento;
3. Le Parti intendono, con il presente documento, disciplinare nel dettaglio gli obblighi del Subcontraente, quale soggetto terzista del Responsabile del Trattamento, per il trattamento dei dati personali.

Le Parti, pienamente consapevoli della notevole importanza del pieno rispetto di tutti i requisiti relativi alla protezione dei dati personali, accettano liberamente e reciprocamente il presente Accordo nei termini che seguono.

2. Definizioni e Interpretazione

I termini “responsabile del trattamento”, “subcontraente”, “dati personali” e “trattamento”, nonché ogni altro termine ed espressione correlati, devono essere interpretati in conformità al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che revoca la Direttiva 95/46/CE - Regolamento Generale sulla Protezione dei Dati (“RGPD”), e alla Legge n.º 58/2019, dell'8 agosto, che assicura l'attuazione nell'ordinamento giuridico nazionale del RGPD, come integrato dalla legislazione nazionale o europea, dalle interpretazioni e dagli orientamenti emanati dalle autorità europee e nazionali, dalle clausole modello approvate dalla Commissione Europea o dalle autorità di vigilanza, nonché qualsiasi giurisprudenza pertinente (comunemente denominato “Regolamento sulla Protezione dei Dati”).

1. Le Parti convengono che i termini del RGPD si applicheranno al trattamento dei dati personali nell'ambito del rapporto tra le Parti a partire dalla data di entrata in vigore del contratto di prestazione di servizi stipulato tra le Parti e per tutta la sua durata.
2. I titoli dei termini del presente Accordo sono inclusi per ragioni di pura convenienza e non costituiscono un supporto per l'interpretazione o l'integrazione dello stesso.
3. Le espressioni sopra definite al singolare possono essere utilizzate al plurale, e viceversa, con la corrispondente modifica del significato.
4. A seconda degli sviluppi legali, della giurisprudenza e delle raccomandazioni emesse dalle autorità di vigilanza o delle modifiche al modello di business, ecc., il Subcontraente potrà modificare questo Accordo, assicurando in tal caso che tali modifiche siano opportunamente pubblicate sul sito web di Nutrium e comunicate via e-mail al Responsabile del Trattamento tramite l'indirizzo email indicato al momento della registrazione sulla piattaforma.
5. Il presente Accordo è costituito dal testo di questo documento e dai seguenti Allegati, tutti opportunamente accettati dai rappresentanti di entrambe le Parti e che ne costituiscono parte integrante: Allegato I - Termini del Trattamento; Allegato II - Misure Tecniche e Organizzative; Allegato III - Elenco dei Subprocessori.
6. A meno che il contesto non indichi diversamente, qualsiasi riferimento in questo Accordo a una disposizione legale o contrattuale include le modifiche a cui è stata e/o sarà soggetta.
7. Qualora una delle disposizioni del presente Accordo sia dichiarata nulla o comunque invalida, inefficace o inapplicabile da un organo competente a tal fine, tale nullità, invalidità, inefficacia o inapplicabilità non pregiudicherà la validità delle restanti disposizioni dell'Accordo e le Parti si impegnano a concordare in buona fede una disposizione che la sostituisca e che, per quanto possibile, produca effetti analoghi.

3. Oggetto

Lo scopo del presente Accordo è quello di disciplinare gli obblighi di entrambe le Parti in relazione al trattamento dei dati personali, come descritto nell'Allegato I (Termini del Trattamento), da parte del Subcontraente in nome e per conto del Responsabile del Trattamento.

4. Vincolo alle presenti disposizioni

In caso di incongruenza o conflitto tra il presente Accordo sul Trattamento dei Dati e altri accordi o termini, indipendentemente dal fatto che siano stati precedentemente concordati tra le Parti, il contenuto e le disposizioni del presente Accordo sul Trattamento dei Dati avranno la precedenza e regoleranno i rapporti tra le Parti per quanto riguarda il trattamento dei dati personali nell'ambito dei servizi forniti da Healthium.

5. Obblighi delle Parti

1. Il Responsabile del Trattamento si assume la piena responsabilità di rispettare le disposizioni previste dal RGPD e dalle altre normative applicabili in materia di protezione dei dati, e si impegna a garantire la legalità, la trasparenza e l'integrità del trattamento dei dati personali.
2. Il Responsabile del Trattamento dovrà fornire al Subcontraente le informazioni necessarie affinché questi possa trattare i dati per suo conto e a suo nome.
3. I Dati personali a cui il Subcontraente ha accesso o che gli sono stati trasmessi dal Responsabile del Trattamento saranno trattati in conformità al presente Accordo e nel rigoroso rispetto delle istruzioni documentate del Responsabile del Trattamento identificate nell'Allegato II o trasmesse dal Responsabile dello stesso durante il periodo di validità dell'Accordo, anche per quanto riguarda i trasferimenti di dati a paesi terzi o a organizzazioni internazionali, a meno che il Subcontraente non sia obbligato a farlo in base al diritto dell'Unione o a quello dello Stato Membro a cui è soggetto (in tal caso informerà il Responsabile del Trattamento di tale requisito legale prima dell'inizio del trasferimento).
4. Il Subcontraente si impegna, in particolare, a non copiare, riprodurre, adattare, modificare, cancellare, distruggere, diffondere, trasmettere, pubblicare o mettere in qualsiasi altro modo a disposizione di terzi i dati personali ai quali ha accesso o che gli sono stati trasmessi dal Responsabile del Trattamento, fatte salve le azioni e le trasmissioni che derivano dalla natura stessa della prestazione del servizio.
5. Fatti salvi gli altri obblighi previsti dal presente Accordo, il Subcontraente si impegna a rispettare le disposizioni della normativa applicabile in materia di trattamento dei dati personali e, in particolare, a:

1. Tenendo conto della natura del trattamento, nella misura in cui ciò sia possibile ed entro i limiti legalmente richiesti al Subcontraente, e senza pregiudicare l'addebito di importi aggiuntivi, fornire assistenza al Responsabile del Trattamento per consentirgli di adempiere all'obbligo di rispondere e mettere a disposizione degli interessati informazioni sui loro dati personali e, in generale, di fornire agli interessati l'esercizio dei loro diritti, ai sensi del Regolamento sulla Protezione dei Dati;
2. Garantire che le persone autorizzate al trattamento dei dati personali abbiano assunto un impegno di riservatezza o siano soggette ad adeguati obblighi legali di riservatezza;
3. Tenendo conto della natura del trattamento, nella misura in cui ciò sia possibile ed entro i limiti legalmente richiesti al Subcontraente, e senza pregiudizio per l'addebito di importi aggiuntivi, fornire al Responsabile del Trattamento la cooperazione richiesta per chiarire le questioni relative al trattamento dei dati personali effettuato ai sensi del presente Accordo e tenere informato il Responsabile del Trattamento in relazione al trattamento dei dati personali, impegnandosi a segnalare immediatamente qualsiasi situazione che possa influire sul trattamento dei dati in questione o che possa in qualche modo dare luogo a inconformità con le disposizioni di legge sulla protezione dei dati personali;
4. Informare il Responsabile del Trattamento, entro 72 ore, di qualsiasi richiesta o reclamo che lo riguardi, proveniente da qualsiasi autorità di vigilanza, garantendo la propria cooperazione con tale autorità;
5. Tenendo conto della natura del trattamento, nella misura in cui ciò sia possibile e nei limiti legalmente richiesti al Subcontraente, e senza pregiudicare l'addebito di importi aggiuntivi, assistere il Responsabile del Trattamento nell'adempimento degli obblighi relativi alla notifica delle violazioni dei dati personali, in particolare notificandolo (e in ogni caso non oltre 72 ore) di qualsiasi violazione dei dati personali che si verifichi con un impatto sui dati personali, e cooperando, nella misura possibile e nei limiti legalmente richiesti al Subcontraente, con il Responsabile del Trattamento nell'adozione di misure per rispondere all'incidente, nelle relative indagini e nella preparazione di qualsiasi notifica che possa essere necessaria ai sensi della legge;
6. Collaborare con il Responsabile del Trattamento, tenendo conto della natura del trattamento e, per quanto possibile, mettendo in atto misure tecniche e organizzative adeguate;
7. Non comunicare i dati personali a terzi e/o fornitori di servizi non autorizzati o indicati dal Responsabile del Trattamento;
8. A seconda della scelta del Responsabile del Trattamento, cancellare o restituire i dati personali al termine dell'Accordo, eliminando le copie esistenti, a meno che la conservazione dei dati non sia richiesta dalla legge;
9. Mettere a disposizione del Responsabile del Trattamento, per quanto possibile e nei limiti legalmente richiesti al Subcontraente, le informazioni necessarie a dimostrare l'osservanza degli obblighi derivanti dalla legge e dal presente Accordo;
10. Conservare la documentazione delle attività di trattamento dei dati svolte per conto del Responsabile del Trattamento ai sensi del presente Accordo, in conformità ai requisiti previsti dalla legge;
11. Se e quando applicabile, informare il Responsabile del Trattamento della nomina di un Responsabile della Protezione dei Dati;
12. Rispettare i termini e condizioni contenuti negli strumenti di legalizzazione dei dati trattati (se applicabili); e
13. Rispettare tutte le altre norme giuridiche relative alla registrazione, alla trasmissione o a qualsiasi altra operazione di trattamento dei dati personali prevista dal Regolamento sulla Protezione dei Dati.

6. Registrazione delle Attività di Trattamento

Il Subcontraente e, se applicabile, i suoi rappresentanti conserveranno, almeno fino alla scadenza del presente Accordo, una registrazione di tutte le attività di trattamento svolte nell'ambito del presente Accordo, ai sensi e per gli effetti dell'articolo 30.º, n.º 2, del RGPD. Tale registrazione delle attività di trattamento includerà almeno le seguenti informazioni:

1. Il nome e i dati di contatto del Subcontraente e del Responsabile del Trattamento e, se applicabile, i rappresentanti del Responsabile del Trattamento e del Subcontraente e il Responsabile della Protezione dei Dati;
2. I tipi di trattamento dei dati effettuati per conto del Responsabile del Trattamento;
3. Le categorie dei dati trattati;
4. I tipi di titolari dei dati interessati dal trattamento dei dati; e
5. Ove applicabile, i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresa l'identificazione di questi ultimi e, nel caso dei trasferimenti di cui all'articolo 49.º, n.º 1, secondo comma, del RGPD, la documentazione comprovante l'esistenza di garanzie adeguate.

7. Misure di Sicurezza

Il Subcontraente si impegna a mettere in atto le misure tecniche e organizzative necessarie per proteggere i dati personali trattati per conto del Responsabile del Trattamento dalla distruzione accidentale o illecita, dalla perdita accidentale, dalla modifica, dalla diffusione o dall'accesso non autorizzati o da qualsiasi altro trattamento illecito degli stessi dati personali. Tali misure devono garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, alla natura dei dati da proteggere e ai rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, compresi, a seconda di quanto opportuno:

1. La pseudonimizzazione e la crittografia dei dati personali;
2. La capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento;
3. La capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico; e
4. Un procedimento per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

8. Riservatezza

Il Subcontraente si impegna a mantenere riservati tutti i dati personali a cui ha accesso o che gli sono stati trasmessi dal Responsabile del Trattamento nell'ambito della prestazione dei servizi concordati con lo stesso.

9. Dipendenti del Subcontraente

Il Subcontraente garantisce che i suoi dipendenti, a prescindere dalla natura e dalla validità del loro rapporto con il Subcontraente (compresi, ma non solo, coloro che cooperano con il Subcontraente sulla base di contratti di diritto civile, fornitori di servizi, lavoratori, agenti, assistenti, rappresentanti, soci, dirigenti, amministratori, procuratori, lavoratori temporanei, fornitori, consulenti, revisori e tirocinanti, di seguito denominati “dipendenti” o “personale”) rispettino gli obblighi stabiliti nel presente Accordo.

10. Subcontraenti del Subcontraente

Il Subcontraente, al fine di mantenere la propria efficienza operativa, stipula contratti con altri soggetti che possono trattare ed elaborare determinati dati personali, individuando un elenco di tali Subcontraenti nell'Allegato III del presente Accordo. Il Responsabile del Trattamento autorizza in generale il Subcontraente a subcontrattare i soggetti identificati nell'Allegato III per il trattamento dei dati personali derivanti dal presente Accordo. Ogniqualvolta subcontratta un altro ente, il Subcontraente garantisce che questi rispetteranno le disposizioni del Regolamento sulla Protezione dei Dati e le altre leggi applicabili, stipulando un contratto scritto con gli enti che subcontrae, che rifletta gli stessi obblighi di protezione dei dati stabiliti nel presente Accordo.

Il Subcontraente si impegna a informare il Responsabile del Trattamento di eventuali modifiche che intende apportare al numero o alla sostituzione dei subcontraenti di cui si avvale, e il Responsabile del Trattamento può opporsi per iscritto a tali modifiche. Nel caso in cui il Subcontraente non sia favorevole alle argomentazioni presentate e decida di mantenere l'elenco dei subcontraenti, il Responsabile del Trattamento avrà la possibilità di rescindere la sua sottoscrizione con effetto immediato, fermo restando il pagamento dell'importo proporzionale corrispondente al periodo di sottoscrizione già utilizzato.

Se i dati vengono elaborati da un subcontraente del Subcontraente al di fuori dell'Unione Europea/Spazio Economico Europeo, i requisiti per i trasferimenti internazionali di dati stabiliti dal RGPD devono essere rispettati prima che tale trattamento abbia inizio.

La responsabilità del Subcontraente nei confronti dei subcontraenti prevista nei paragrafi precedenti si estende a tutti i soggetti che agiscono come subcontraenti in una catena di subcontrattazione con il Subcontraente, indipendentemente dal fatto che il loro legame con quest'ultimo sia diretto o indiretto.

11. Responsabilità

Il Subcontraente sarà responsabile di tutti i danni causati al Responsabile del Trattamento che gli sono direttamente ed effettivamente attribuiti in conseguenza del trattamento da parte sua e/o dei suoi dipendenti, fornitori di servizi o subcontraenti [ai sensi della clausola n.º 8 (Subcontraenti del Subcontraente)], dei dati personali in violazione delle norme giuridiche applicabili e/o delle disposizioni del presente Accordo.

12. Notifica di violazioni dei dati personali

Il Subcontraente è tenuto a notificare al Responsabile del Trattamento qualsiasi violazione che possa compromettere la sicurezza dei dati personali che lo riguardano, come il trasferimento, l'accesso, la perdita, la modifica o la diffusione a terzi, accidentale, non autorizzata o illegale, in violazione del presente Accordo o del Regolamento sulla Protezione dei Dati, o qualsiasi incidente che direttamente o indirettamente pregiudichi, o possa pregiudicare, la riservatezza, l'integrità o l'autenticità dei dati, il più presto possibile, date le circostanze, e senza ritardi ingiustificati, in ogni caso non oltre 72 ore dal momento in cui il Subcontraente ne viene a conoscenza.

La notifica ai sensi del paragrafo precedente deve includere tutte le informazioni pertinenti relative ai dati personali interessati, ovvero:

1. La natura dei dati personali violati, comprese le categorie e il numero di soggetti interessati, nonché le categorie e il numero di registri di dati personali in questione;
2. Il nome e i dati di contatto del responsabile della protezione dei dati o di un altro punto di riferimento per ottenere ulteriori informazioni;
3. La descrizione delle conseguenze prevedibili della violazione dei dati personali; e
4. Le misure adottate o proposte dal Responsabile del Trattamento per porre rimedio alla violazione dei dati personali e per mitigarne gli eventuali effetti negativi.

In caso di violazione o di incidente, il Subcontraente dovrà indagare sull'incidente o sulla violazione dei dati personali, adottare misure adeguate per garantire la sicurezza dei dati personali e mitigare i possibili effetti negativi sugli interessati e prevenire futuri incidenti o violazioni dei dati personali.

13. Controlli

Il Subcontraente realizzerà verifiche di sicurezza della sua infrastruttura e dell'ambiente informatico che utilizza per il trattamento dei dati personali, come segue:

1. Quando una norma o un quadro di riferimento prevede degli audit, un audit di tale norma o quadro di controllo sarà avviato almeno una volta all'anno.
2. Ogni audit sarà condotto in conformità agli standard e alle regole dell'organismo di regolamentazione o di accreditamento per ogni standard o quadro di controllo applicabile.
3. Ciascuna verifica sarà effettuata da controllori di sicurezza di terze parti qualificati e indipendenti, a spese e a scelta del Subcontraente.

Ciascuna verifica comporterà la generazione di un report di verifica, che il Subcontraente renderà disponibile sul suo sito web o in un altro luogo da esso individuato. Il report sarà considerato un'Informazione Confidenziale di Healthium e rivelerà chiaramente qualsiasi risultato rilevante del revisore. Il Subcontraente dovrà correggere tempestivamente qualsiasi problema sollevato in qualsiasi report in modo soddisfacente per il revisore. Se richiesto dal Responsabile del Trattamento, il Subcontraente fornirà al Responsabile ogni report.

I report possono essere soggetti a limitazioni di non diffusione e distribuzione da parte di Healthium e del revisore.

Nella misura in cui i requisiti dell'audit del Responsabile del Trattamento ai sensi delle rispettive leggi sulla Protezione dei Dati non possano essere ragionevolmente soddisfatti attraverso i report di audit, la documentazione o le informazioni sulla conformità che il Subcontraente mette generalmente a disposizione dei suoi clienti, il Subcontraente dovrà rispondere alle istruzioni di audit aggiuntive del Responsabile del Trattamento. Prima dell'inizio di un audit, il Subcontraente e il Responsabile del Trattamento concorderanno di comune accordo l'ambito, la tempistica, la durata, i requisiti di controllo e di evidenza e i compensi dell'audit, a condizione che tale requisito di accordo non consenta al Subcontraente di ritardare in modo ingiustificato l'esecuzione dell'audit. Nella misura in cui ciò sia necessario per effettuare l'audit, il Subcontraente metterà a disposizione i sistemi di elaborazione, le strutture e la documentazione di supporto relativa all'elaborazione dei Dati Personali da parte del Subcontraente e dei suoi Subcontraenti. Tale verifica sarà condotta da un'azienda di revisione indipendente e accreditata, durante il normale orario di lavoro, con un ragionevole preavviso al Subcontraente e nel rispetto di ragionevoli procedure di riservatezza. Il Responsabile del Trattamento è responsabile di tutti i costi e le tasse relativi a tale revisione, compresi tutti i costi e le tasse adeguate per tutto il tempo che il Subcontraente dedica a tale revisione, oltre agli oneri per i servizi svolti dal Subcontraente. Se il report di verifica generato a seguito dell'audit del Responsabile del Trattamento include qualsiasi constatazione di non conformità sostanziale, il Responsabile del Trattamento dovrà condividere tale report di verifica con il Subcontraente e quest'ultimo dovrà porre prontamente rimedio a qualsiasi non conformità sostanziale.

Nulla di quanto contenuto nella presente sezione di questo Accordo varia o modifica i termini del RGDP o influisce sui diritti di qualsiasi autorità di controllo o soggetto interessato ai sensi delle rispettive leggi sulla Protezione dei Dati.

14. Partner commerciale HIPAA

Se il Responsabile del Trattamento è una “ente coperto” o un “partner commerciale” e include “informazioni sulla salute protette” nei Dati del Cliente o nei Dati dei Servizi Professionali, come tali termini sono definiti nella Legge sulla Portabilità e Responsabilità delle Assicurazioni Sanitarie (Health Insurance Portability and Accountability Act) del 1996, e successive modifiche, e nei regolamenti promulgati in base ad essa (collettivamente “HIPAA”), l'esecuzione del contratto con il Responsabile del Trattamento include l'esecuzione del Contratto di Partner Commerciale HIPAA (“BAA”).

15. Durata e rescissione dell'accordo

Il presente Accordo resterà in vigore per tutto il tempo in cui continuerà il rapporto di servizio tra il Responsabile del Trattamento e il Subcontraente.

Al termine del presente Accordo, il Subcontraente si impegna, su scelta del Responsabile del Trattamento, a cancellare o a restituire al Responsabile del Trattamento tutti i mezzi di supporto contenenti i dati personali che gli sono stati forniti da quest'ultimo, cancellando le eventuali copie esistenti, a meno che la conservazione dei dati non sia richiesta dalla legge.

16. Comunicazione dell'accordo all'Autorità di Vigilanza

Le Parti sono autorizzate a comunicare il contenuto del presente Accordo e i relativi contenuti all'autorità di vigilanza competente.

17. Legge Applicabile

Il presente Accordo è regolato dalle disposizioni applicabili della legge portoghese.

18. Risoluzione delle Controversie

Tutte le questioni derivanti dal presente Accordo saranno giudicate dai tribunali del distretto di Braga, con espressa rinuncia a qualsiasi altra giurisdizione.

19. Mezzi di Comunicazione con il Subcontraente

Ai fini delle comunicazioni relative alla sicurezza e alla protezione dei dati, le Parti ritengono sufficienti e idonei gli indirizzi di seguito indicati nei confronti del Subcontraente e quelli indicati dal Responsabile del Trattamento al momento della registrazione. Se il Responsabile del Trattamento desidera sollevare questioni relative alla sicurezza e alla protezione dei dati con il Subcontraente, potrà farlo attraverso i seguenti mezzi:

Pedro Bacelar

Responsabile della Protezione dei Dati

dpo@nutrium.com

o

Rua Andrade Corvo, nº 242, 1º andar, Sala 106

4700-204 Braga

+351 935 455 75

Allegato I

Termini del Trattamento

Natura e finalità del trattamento

Il Responsabile del Trattamento tratta i dati personali dei suoi clienti per l'erogazione dell'assistenza sanitaria e per la gestione del rapporto con i clienti e/o i dati personali dei suoi dipendenti per la gestione del rapporto con gli stessi.

Ai sensi dell'Accordo stipulato tra le Parti, il Subcontraente si impegna a fornire al Responsabile del trattamento i servizi descritti nei Termini e Condizioni in vigore e nella Politica sulla Privacy in vigore.

In questo contesto e a questo scopo, il Subcontraente avrà accesso ai dati personali dei clienti e/o dei dipendenti del Responsabile del Trattamento dei Dati.

Durata del trattamento

La durata del trattamento dipende dalla validità del suddetto accordo e rispetterà i periodi di conservazione stabiliti e resi noti di volta in volta dal Responsabile del Trattamento dei Dati Personali.

Tipi di dati trattati

I dati delle categorie semplici e speciali, ovvero:

• Dati personali dei clienti: dati generali e demografici, dati antropometrici, dati socio-culturali ed economici e dati clinici;
• Dati personali dei dipendenti: dati generali e demografici.

Categorie speciali dei dati

Dati relativi alla salute della persona.

Categorie dei soggetti interessati

Clienti e/o Dipendenti del Responsabile del Trattamento dei Dati.

Allegato II

Misure Tecniche e Organizzative

Sicurezza del Trattamento

In conformità a quanto descritto nell'Accordo, il Subcontraente dovrà mettere in atto misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenendo conto delle tecniche più avanzate, dei costi di attuazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi, di varia probabilità e gravità, per i diritti e le libertà dei titolari dei dati.

Requisiti minimi

In conformità al paragrafo 1 del presente Allegato e all'Allegato I, il Subcontraente deve soddisfare i seguenti requisiti minimi:

1. Controllo degli Accessi e Autenticazione
   • Tutti gli accessi alle informazioni del Responsabile del Trattamento devono essere effettuati da utenti legittimati a farlo e tali utenti devono disporre di identificatori univoci in grado di identificarli nei sistemi di elaborazione e archiviazione delle informazioni;
   • L'autenticazione nei sistemi deve essere effettuata utilizzando credenziali basate su utente e password, e la password deve essere complessa (combinazione di lettere, numeri, caratteri speciali e lunghezza minima di otto caratteri);
   • Deve essere adottato un periodo massimo di validità delle parole chiave non superiore a 90 giorni e non deve essere possibile per l'utente utilizzare le 5 parole chiave precedenti;
   • Devono essere adottate misure tecniche di sicurezza per proteggere le credenziali di accesso, come il blocco della password dopo (6) sei tentativi consecutivi falliti, sei mesi senza che le credenziali vengano utilizzate;
   • Devono esistere procedure formali per richiedere, assegnare, rimuovere e approvare l'accesso alle informazioni da parte del Responsabile del Trattamento.
2. Crittografia dei Dati e Gestione dei Dispositivi
   • Tutte le informazioni personali devono essere memorizzate su supporti (dischi rigidi esterni, server, chiavette USB, ecc.) in forma criptata;
   • Tutte le informazioni devono essere trasmesse utilizzando canali di comunicazione criptati (ad esempio TLS/SSL, e-mail criptate con chiavi X509 o PGP);
   • Tutti i dispositivi informatici (server e computer personali) devono essere adeguatamente protetti da attacchi e malware attraverso l'uso di antivirus e sistemi di rilevamento e prevenzione delle intrusioni;
   • Tutti i componenti del sistema informativo (hardware, firmware e software) devono essere esaminati per garantire che le vulnerabilità e le lacune siano individuate e di conseguenza aggiornate con gli ultimi aggiornamenti disponibili o con le misure installate per mitigare le lacune riscontrate.
3. Capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico
   • Deve essere garantita la continuità della prestazione del servizio al Responsabile del Trattamento attraverso l'utilizzo di meccanismi di protezione contro la distruzione o la perdita accidentale;
   • I meccanismi di salvaguardia delle informazioni (ad esempio i backup) devono essere conformi alle buone pratiche di continuità operativa, garantendo che:
     • Almeno una copia è conservata in un luogo alternativo;
     • Vengono effettuati controlli sull'accesso e sulla protezione fisica dei supporti (ad es. cassette) quando sono conservati o in transito.
   • L'efficacia dei meccanismi di protezione deve essere verificata almeno ogni sei mesi.
4. Procedimento per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento
   • Devono essere effettuati audit regolari per convalidare la conformità ai requisiti di sicurezza e protezione dei dati contenuti nel presente Allegato, almeno su base annuale;
   • Deve essere redatto un report che illustri il grado di adempimento dei requisiti, le raccomandazioni per l'adeguamento e, infine, deve essere messo a disposizione del Responsabile del Trattamento.

Allegato III

Elenco dei Subprocessori

Ambito di Applicazione

Healthium può assumere e utilizzare alcuni processori di dati di terze parti ("Subprocessori") per fornire servizi ai nostri clienti. Questa allegato contiene informazioni importanti sull'identità, la localizzazione e la funzione di ciascun Subprocessore.

Elenco dei Subprocessori

Questi Subprocessori possono avere accesso ai dati personali forniti direttamente dai nostri utenti o a cui noi possiamo avere accesso per svolgere i servizi oggetto dell'accordo. Attualmente utilizziamo il seguente elenco di Subprocessori per fornire servizi di infrastruttura, assistenza clienti e piattaforma. Si noti che non tutti i Subprocessori sono utilizzati per la fornitura di tutti i servizi da noi offerti e che alcuni possono essere coinvolti solo nell'assistenza alla fornitura di servizi specifici.

Centro assistenza clienti:

Piattaforme:

Infrastrutture dei Servizi Digitali: