MIR Logo

Atto di Nomina di Responsabile dei Trattamenti di Dati Personali

Tra

Il professionista sanitario/struttura sanitaria, in persona del Legale rappresentante, (di seguito, il “Titolare” o il “Professionista”)

E

MIR - Medical International Research S.p.A., con sede legale in 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, in persona del Legale rappresentante (di seguito, il “Responsabile” o “MIR”)

(di seguito anche singolarmente la “Parte” e congiuntamente le “Parti”)

Premesso Che

  • Il Titolare e MIR - Medical International Research S.p.A hanno concluso un contratto avente ad oggetto l’erogazione di servizi di assistenza e manutenzione del dispositivo medico (di seguito, il “Dispositivo”) commercializzato da MIR ed utilizzato dal Titolare nello svolgimento della propria attività professionale sanitaria (di seguito, il “Contratto”);
  • ai sensi dell’art. 24 del Regolamento Europeo n. 2016/679 (di seguito, il “GDPR”), il Professionista è Titolare del trattamento dei dati personali (comprese le particolari categorie di dati ex art. 9 del GDPR) contenuti nel Dispositivo;
  • per l’esecuzione dell’incarico sopra menzionato, MIR - Medical International Research S.p.A è preposto dal Titolare a svolgere operazioni di trattamento sui dati personali identificativi di terzi (comprese le particolari categorie di dati ex art. 9 del GDPR);
  • è volontà dei sottoscrittori del presente atto disciplinare i reciproci rapporti per quanto attiene ai profili rilevanti ai sensi del GDPR, in conformità al D.Lgs. n. 196 del 2003, come modificato dal D.Lgs. n. 101 del 2018 (di seguito, il “Codice Privacy”) e alle ulteriori norme applicabili al trattamento dei dati personali, inclusi i provvedimenti dell’Autorità Garante per la protezione dei dati personali e delle altre autorità di controllo competenti e gli ulteriori atti di adeguamento della normativa nazionale alle disposizioni del GDPR (di seguito, collettivamente, la “Normativa Privacy Applicabile”).

Tutto Ciò Premesso

le Parti addivengono al seguente “Atto di nomina di responsabile dei trattamenti di dati personali”.

  1. Con la sottoscrizione del presente atto, il Professionista, in qualità di Titolare del trattamento, nomina MIR - Medical International Research S.p.A, in conformità all’art. 28 del GDPR, quale Responsabile del trattamento di dati personali (di seguito, il “Responsabile”).
  2. Il trattamento dei dati effettuati dal Responsabile per conto del Titolare sarà eseguito esclusivamente per le finalità di cui al Contratto o successivamente concordate per iscritto tra le Parti.
  3. Il Responsabile metterà in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e dalla Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e garantisca la tutela dei diritti dell’interessato. Il Responsabile assicura l’equivalenza delle proprie misure di sicurezza rispetto a quelle messe in atto dal Titolare.
  4. Con la presente nomina, il Professionista autorizza il Responsabile a effettuare trattamenti dei dati personali in forma elettronica e/o manuale, in conformità con la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata. Resta inteso che i trattamenti avranno ad oggetto, resta inteso che i trattamenti avranno ad oggetto:
    • “personali comuni” / “identificativi”;
    • particolari categorie di dati ex art. 9 del GDPR (dati sanitari);
  5. In particolare, il Responsabile si impegna a:
    • verificare e monitorare costantemente che i trattamenti siano eseguiti in modo lecito, secondo correttezza e nel rispetto del principio di necessità, per scopi determinati, espliciti e legittimi e con modalità non incompatibili con tali scopi;
    • ai sensi dell’art. 30 del GDPR, laddove applicabile o, in ogni caso, laddove richiesto dal Titolare, tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare;
    • trattare i dati personali soltanto su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile del trattamento; in tal caso, il Responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
    • delegare alcune delle obbligazioni a suo carico a una o più persone incaricate di specifici aspetti del trattamento, in ogni caso effettuando una stretta supervisione delle attività di tali persone e verificando periodicamente che queste compiano i propri doveri in conformità alle istruzioni scritte impartite dal Titolare. In ogni caso il Responsabile garantirà che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
    • adottare tutte le misure idonee di protezione dei dati ai sensi dell'art. 32 del GDPR e della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata;
    • tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato previsti dalla Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e segnatamente di cui agli artt. 15 e segg. del GDPR;
    • assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
    • su indicazione del Titolare, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati per un determinato periodo;
    • mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato. Il Responsabile del trattamento si impegna a informare immediatamente il Titolare del trattamento qualora, a suo parere, un'istruzione violi la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, o altre disposizioni nazionali o dell'Unione, relative alla protezione dei dati;
    • designare, nei casi previsti all’art. 37 del GDPR, un Responsabile della protezione dei dati personali.
  6. Il Responsabile non ricorrerà a un altro Responsabile - per l'esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento - senza previa autorizzazione scritta, specifica, del Titolare del trattamento. In tal caso, all’altro Responsabile del trattamento saranno imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente atto. Resta inteso che nel caso in cui l'altro Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserverà nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro Responsabile. Resta inteso che il Responsabile sarà pienamente responsabile nei confronti del Titolare, del pieno rispetto della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e delle presenti istruzioni da parte dei terzi di cui si avvalga nell’esecuzione del Contratto.
  7. Il Responsabile garantisce che tratterà i dati personali di titolarità del Titolare esclusivamente per adempiere agli obblighi contrattuali. In particolare, il Responsabile garantisce che non diffonderà o comunicherà tali dati, né li metterà a disposizione, direttamente o indirettamente, di terzi, salvo le ipotesi in cui ciò sia necessario per adempiere ad obblighi di legge o previsti dal Contratto.
  8. Il Responsabile si impegna altresì a:
    • elaborare e gestire i dati personali in conformità:
      • con la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata;
      • con le condizioni e previsioni di cui al presente atto;
      • con le istruzioni di volta in volta ricevute dal Titolare;
    • garantire l'implementazione e l’esecuzione di tutte le necessarie misure tecniche e organizzative allo scopo di evitare elaborazioni non autorizzate o illecite o perdite, danni o distruzioni accidentali dei dati personali;
    • non trattenere alcuna copia, estratto, sintesi o riassunto dei dati personali, eccetto ove richiesto per l'esecuzione degli obblighi previsti dalla legge applicabile e dal Contratto;
    • designare e identificare per il Titolare un individuo all'interno della propria organizzazione autorizzato a rispondere a richieste di informazioni da parte del Garante ovvero altre autorità di controllo nazionali o straniere;
    • designare per iscritto i Designati del trattamento dei dati personali, ai sensi dell’art. 2-quaterdecies del Codice Privacy e dell’art. 29 del GDPR, i quali materialmente compiranno le operazioni di trattamento dei dati personali;
    • dare comunicazione scritta, tempestiva e non oltre le 48 ore, al Titolare in caso di c.d. “Data Breach“ affinché quest’ultimo possa disporre gli opportuni provvedimenti da adottare ai sensi degli artt. 33 e 34 del GDPR.
  9. Gli obblighi derivanti dal presente atto saranno interpretati e adempiuti dal Responsabile in conformità con la Normativa Privacy Applicabile e con ogni eventuale modifica e integrazione eventualmente intervenuta in seguito alla sottoscrizione dello stesso.
  10. Il Titolare mantiene il diritto di verificare periodicamente le misure organizzative e di sicurezza dei Dati personali adottate dal Responsabile, al fine di garantire l'osservanza, da parte di quest’ultimo e dei suoi dipendenti e collaboratori incaricati del trattamento, delle istruzioni impartite nonché della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata.
  11. La presente nomina si intenderà revocata all’atto della cessazione del Contratto, per qualsiasi causa ciò avvenga.
  12. Le Parti si impegnano a modificare e/o integrare le previsioni di cui alla presente nomina nel rispetto della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e nella misura in cui ciò sia necessario per garantire la piena conformità del presente atto con la predetta normativa.

Acte de Nomination de Responsable des Traitements de Données Personnelles

Entre

Le professionnel de santé/structure sanitaire, représenté par son représentant légal (ci-après, le « Titulaire » ou le « Professionnel »)

Et

MIR - Medical International Research S.p.A., ayant son siège social au 00173 - Rome, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, représentée par son représentant légal (ci-après, le « Responsable » ou « MIR »)

(ci-après individuellement dénommée la « Partie » et collectivement les « Parties »)

Considérant Que

  • Le Titulaire et MIR - Medical International Research S.p.A ont conclu un contrat portant sur la fourniture de services d'assistance et de maintenance de dispositifs médicaux (ci-après, le « Dispositif ») commercialisés par MIR et utilisés par le Titulaire dans l'exercice de son activité professionnelle sanitaire (ci-après, le « Contrat ») ;
  • Conformément à l'article 24 du Règlement Européen n° 2016/679 (ci-après, le « RGPD »), le Professionnel est Responsable du traitement des données personnelles (y compris les catégories particulières de données visées à l'article 9 du RGPD) contenues dans le Dispositif ;
  • Pour l'exécution de la mission mentionnée ci-dessus, MIR - Medical International Research S.p.A est désignée par le Titulaire pour effectuer des opérations de traitement sur les données personnelles identifiantes de tiers (y compris les catégories particulières de données visées à l'article 9 du RGPD) ;
  • Il est de la volonté des signataires du présent acte de réglementer leurs relations réciproques en ce qui concerne les aspects pertinents au regard du RGPD, conformément au décret législatif n° 196 de 2003, tel que modifié par le décret législatif n° 101 de 2018 (ci-après, le « Code de Confidentialité ») et aux autres réglementations applicables au traitement des données personnelles, y compris les décisions de l'Autorité Garante pour la protection des données personnelles et des autres autorités de contrôle compétentes, ainsi que les autres actes d'adaptation de la législation nationale aux dispositions du RGPD (ci-après, collectivement, la « Réglementation Applicable en Matière de Confidentialité »).

Tout Ce Qui Précède

Les Parties conviennent de ce qui suit dans le cadre de l'« Acte de nomination du responsable des traitements des données personnelles ».

  1. Avec la signature du présent acte, le Professionnel, en tant que Responsable du traitement, nomme MIR - Medical International Research S.p.A, conformément à l'article 28 du RGPD, comme Responsable du traitement des données personnelles (ci-après, le « Responsable »).
  2. Le traitement des données effectué par le Responsable pour le compte du Responsable du traitement sera exécuté exclusivement aux fins prévues dans le Contrat ou ultérieurement convenues par écrit entre les Parties.
  3. Le Responsable mettra en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences prévues par le RGPD et la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée, et garantisse la protection des droits des intéressés. Le Responsable s'engage à assurer l'équivalence de ses mesures de sécurité avec celles mises en œuvre par le Responsable du traitement.
  4. Par la présente nomination, le Professionnel autorise le Responsable à effectuer des traitements de données personnelles sous forme électronique et/ou manuelle, en conformité avec la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée. Il est entendu que les traitements porteront sur :
    • des données « personnelles courantes » / « identifiantes » ;
    • des catégories particulières de données au sens de l'article 9 du RGPD (données de santé).
  5. En particulier, le Responsable s'engage à :
    • vérifier et surveiller en permanence que les traitements sont effectués de manière licite, équitable et en respectant le principe de nécessité, pour des finalités déterminées, explicites et légitimes, et de manière compatible avec ces finalités ;
    • conformément à l'article 30 du RGPD, lorsque cela est applicable ou sur demande expresse du Responsable du traitement, tenir un registre de toutes les catégories d'activités relatives au traitement effectuées pour le compte du Responsable du traitement ;
    • traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, même en cas de transfert de données personnelles vers un pays tiers ou une organisation internationale, sauf si cette obligation est imposée par le droit de l'Union ou national auquel le Responsable est soumis. Dans ce cas, le Responsable informe le Responsable du traitement de cette obligation légale avant le traitement, sauf si la loi interdit cette information pour des raisons d'intérêt public ;
    • déléguer certaines de ses obligations à une ou plusieurs personnes chargées d'aspects spécifiques du traitement, tout en assurant une supervision stricte des activités de ces personnes et en vérifiant régulièrement qu'elles s'acquittent de leurs fonctions conformément aux instructions écrites données par le Responsable du traitement. Le Responsable garantit que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité adéquate ou légale ;
    • adopter toutes les mesures appropriées pour protéger les données conformément à l'article 32 du RGPD et à la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée ;
    • compte tenu de la nature du traitement, assister le Responsable du traitement avec des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour satisfaire à l'obligation du Responsable de répondre aux demandes d'exercice des droits des intéressés prévus par la Réglementation applicable en matière de confidentialité, notamment ceux des articles 15 et suivants du RGPD ;
    • assister le Responsable du traitement dans le respect des obligations prévues aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations à la disposition du Responsable ;
    • à la demande du Responsable, supprimer ou restituer toutes les données personnelles après la fin de la prestation de services liés au traitement et supprimer les copies existantes, sauf si le droit de l'Union ou des États membres exige la conservation des données pendant une période déterminée ;
    • mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD et permettre et contribuer aux activités de vérification, y compris les inspections, effectuées par le Responsable ou un tiers mandaté par lui. Le Responsable s'engage à informer immédiatement le Responsable du traitement s'il estime qu'une instruction enfreint la Réglementation applicable en matière de confidentialité ou toute autre législation relative à la protection des données ;
    • désigner, dans les cas prévus à l'article 37 du RGPD, un Responsable de la protection des données personnelles.
  6. Le Responsable ne fera pas appel à un autre Responsable - pour l'exécution d'activités spécifiques de traitement pour le compte du Responsable du traitement - sans l'autorisation écrite et spécifique préalable du Responsable du traitement. Dans ce cas, les mêmes obligations en matière de protection des données contenues dans le présent acte seront imposées à l'autre Responsable du traitement, au moyen d'un contrat ou d'un autre acte juridique. Il est entendu que si l'autre Responsable du traitement ne respecte pas ses obligations en matière de protection des données, le Responsable conservera l'entière responsabilité vis-à-vis du Responsable du traitement pour l'exécution des obligations de l'autre Responsable. Il est également entendu que le Responsable sera pleinement responsable vis-à-vis du Responsable du traitement du respect intégral de la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée, ainsi que des présentes instructions par les tiers auxquels il fait appel dans l'exécution du Contrat.
  7. Le Responsable garantit qu'il traitera les données personnelles appartenant au Responsable du traitement exclusivement pour s'acquitter des obligations contractuelles. En particulier, le Responsable garantit qu'il ne diffusera ni ne communiquera ces données, ni ne les mettra à disposition, directement ou indirectement, de tiers, sauf dans les cas où cela est nécessaire pour respecter des obligations légales ou prévues par le Contrat.
  8. Le Responsable s'engage également à :
    • élaborer et gérer les données personnelles en conformité :
      • avec la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée ;
      • avec les conditions et dispositions du présent acte ;
      • avec les instructions reçues du Responsable du traitement ;
    • garantir la mise en œuvre et l'exécution de toutes les mesures techniques et organisationnelles nécessaires afin d'éviter les traitements non autorisés ou illicites, ainsi que les pertes, dommages ou destructions accidentels des données personnelles ;
    • ne pas conserver de copie, d'extrait, de synthèse ou de résumé des données personnelles, sauf si cela est requis pour exécuter les obligations prévues par la législation applicable et par le Contrat ;
    • désigner et identifier, pour le Responsable du traitement, une personne au sein de sa propre organisation autorisée à répondre aux demandes d'informations du Garant ou d'autres autorités de contrôle nationales ou étrangères ;
    • désigner par écrit les Délégués au traitement des données personnelles, conformément à l'article 2-quaterdecies du Code de confidentialité et à l'article 29 du RGPD, qui effectueront matériellement les opérations de traitement des données personnelles ;
    • notifier par écrit, rapidement et dans un délai de 48 heures, au Responsable du traitement en cas de “Data Breach”, afin que ce dernier puisse adopter les mesures nécessaires en vertu des articles 33 et 34 du RGPD.
  9. Les obligations découlant du présent acte seront interprétées et exécutées par le Responsable en conformité avec la Réglementation applicable en matière de confidentialité, ainsi que toute modification ou intégration éventuelle apportée après sa signature.
  10. Le Responsable du traitement conserve le droit de vérifier périodiquement les mesures organisationnelles et de sécurité des données personnelles mises en œuvre par le Responsable, afin de garantir le respect, par ce dernier et par ses employés et collaborateurs chargés du traitement, des instructions données ainsi que de la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée.
  11. La présente nomination sera révoquée à la cessation du Contrat, quelle qu'en soit la cause.
  12. Les Parties s'engagent à modifier et/ou compléter les dispositions de la présente nomination en conformité avec la Réglementation applicable en matière de confidentialité, telle que modifiée et/ou complétée, et dans la mesure où cela est nécessaire pour garantir la pleine conformité du présent acte à ladite réglementation.

Acta de Nombramiento de Responsable de Tratamiento de Datos Personales

Entre

El profesional sanitario/estructura sanitaria, en la persona de su Representante Legal, (en adelante, el “Titular” o el “Profesional”)

Y

MIR - Medical International Research S.p.A., con sede legal en 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, en la persona de su Representante Legal (en adelante, el “Responsable” o “MIR”)

(en adelante también individualmente la “Parte” y conjuntamente las “Partes”)

Considerando Que

  • El Titular y MIR - Medical International Research S.p.A han celebrado un contrato cuyo objeto es la prestación de servicios de asistencia y mantenimiento del dispositivo médico (en adelante, el “Dispositivo”) comercializado por MIR y utilizado por el Titular en el ejercicio de su actividad profesional sanitaria (en adelante, el “Contrato”);
  • conforme al art. 24 del Reglamento Europeo n. 2016/679 (en adelante, el “GDPR”), el Profesional es el Titular del tratamiento de los datos personales (incluidas las categorías especiales de datos del art. 9 del GDPR) contenidos en el Dispositivo;
  • para la ejecución del encargo mencionado anteriormente, MIR - Medical International Research S.p.A es designado por el Titular para llevar a cabo operaciones de tratamiento sobre datos personales identificativos de terceros (incluidas las categorías especiales de datos del art. 9 del GDPR);
  • es voluntad de los firmantes del presente acta regular sus relaciones mutuas en lo que se refiere a los aspectos relevantes en virtud del GDPR, de conformidad con el Decreto Legislativo n. 196 de 2003, modificado por el Decreto Legislativo n. 101 de 2018 (en adelante, el “Código de Privacidad”) y otras normativas aplicables al tratamiento de datos personales, incluidas las disposiciones de la Autoridad Garante de Protección de Datos Personales y otras autoridades de control competentes, así como otras disposiciones para la adaptación de la normativa nacional a las disposiciones del GDPR (en adelante, colectivamente, la “Normativa de Privacidad Aplicable”).

Todo lo Anterior Considerado

Las Partes acuerdan el siguiente “Acto de designación de responsable del tratamiento de datos personales”.

  1. Con la firma del presente acto, el Profesional, en calidad de Responsable del tratamiento, designa a MIR - Medical International Research S.p.A, de conformidad con el art. 28 del GDPR, como Responsable del tratamiento de datos personales (en adelante, el “Responsable”).
  2. El tratamiento de datos realizado por el Responsable en nombre del Responsable del tratamiento se llevará a cabo exclusivamente para los fines indicados en el Contrato o posteriormente acordados por escrito entre las Partes.
  3. El Responsable implementará medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla con los requisitos establecidos por el GDPR y la Normativa de Privacidad Aplicable, según sea modificada y/o complementada, y garantice la protección de los derechos de los interesados. El Responsable asegura la equivalencia de sus medidas de seguridad con las implementadas por el Responsable del tratamiento.
  4. Mediante la presente designación, el Profesional autoriza al Responsable a realizar tratamientos de datos personales de forma electrónica y/o manual, de conformidad con la Normativa de Privacidad Aplicable, según sea modificada y/o complementada. Se entiende que los tratamientos incluirán:
    • “personales comunes” / “identificativos”;
    • categorías especiales de datos según el art. 9 del GDPR (datos sanitarios);
  5. En particular, el Responsable se compromete a:
    • verificar y monitorear constantemente que los tratamientos se realicen de forma lícita, de manera justa y respetando el principio de necesidad, para fines determinados, explícitos y legítimos, y con métodos compatibles con dichos fines;
    • de acuerdo con el art. 30 del GDPR, cuando sea aplicable o solicitado por el Responsable, mantener un registro de todas las categorías de actividades relacionadas con el tratamiento realizadas en nombre del Responsable;
    • tratar los datos personales únicamente bajo instrucciones documentadas del Responsable del tratamiento, incluso en caso de transferencia de datos personales a un tercer país o una organización internacional, salvo que lo requiera la ley de la Unión o nacional aplicable al Responsable del tratamiento; en tal caso, el Responsable del tratamiento informará al Responsable sobre esta obligación legal antes del tratamiento, a menos que la ley prohíba dicha información por razones de interés público relevantes;
    • delegar ciertas obligaciones a una o más personas encargadas de aspectos específicos del tratamiento, asegurando en todo caso una supervisión estricta de las actividades de dichas personas y verificando periódicamente que cumplan con sus deberes de conformidad con las instrucciones escritas impartidas por el Responsable. En cualquier caso, el Responsable garantizará que las personas autorizadas para tratar datos personales se comprometan a la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad;
    • adoptar todas las medidas de protección adecuadas según el art. 32 del GDPR y la Normativa de Privacidad Aplicable, según sea modificada y/o complementada;
    • teniendo en cuenta la naturaleza del tratamiento, asistir al Responsable con medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir con la obligación del Responsable de atender las solicitudes de ejercicio de derechos de los interesados previstos en la Normativa de Privacidad Aplicable, según sea modificada y/o complementada, específicamente los derechos establecidos en los arts. 15 y siguientes del GDPR;
    • asistir al Responsable en garantizar el cumplimiento de las obligaciones establecidas en los arts. 32 a 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Responsable;
    • a solicitud del Responsable, eliminar o devolver todos los datos personales una vez finalizada la prestación de los servicios relacionados con el tratamiento y eliminar las copias existentes, salvo que la ley de la Unión o de los Estados miembros requiera su conservación por un período determinado;
    • poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del GDPR y permitir y contribuir a las actividades de auditoría, incluidas las inspecciones, realizadas por el Responsable del tratamiento o por otro sujeto designado por este. El Responsable del tratamiento se compromete a informar de inmediato al Responsable si considera que una instrucción infringe la Normativa de Privacidad Aplicable, según sea modificada y/o complementada, u otras disposiciones nacionales o de la Unión relacionadas con la protección de datos;
    • designar, en los casos previstos en el art. 37 del GDPR, a un Responsable de la protección de datos personales.
  6. El Responsable no recurrirá a otro Responsable para la ejecución de actividades específicas de tratamiento en nombre del Responsable del tratamiento sin previa autorización escrita y específica del Responsable del tratamiento. En tal caso, al otro Responsable del tratamiento se le impondrán, mediante un contrato u otro acto jurídico, las mismas obligaciones en materia de protección de datos contenidas en el presente acto. Se entiende que, en caso de que el otro Responsable del tratamiento no cumpla con sus obligaciones en materia de protección de datos, el Responsable conservará frente al Responsable del tratamiento la responsabilidad total del cumplimiento de las obligaciones del otro Responsable. Asimismo, se entiende que el Responsable será plenamente responsable ante el Responsable del tratamiento del pleno cumplimiento de la Normativa de Privacidad Aplicable, según sea modificada y/o complementada, y de las presentes instrucciones por parte de los terceros que utilice en la ejecución del Contrato.
  7. El Responsable garantiza que tratará los datos personales del Responsable del tratamiento exclusivamente para cumplir con las obligaciones contractuales. En particular, el Responsable garantiza que no difundirá ni comunicará dichos datos, ni los pondrá a disposición, directa o indirectamente, de terceros, salvo en los casos en que sea necesario para cumplir con obligaciones legales o contractuales previstas en el Contrato.
  8. El Responsable también se compromete a:
    • elaborar y gestionar los datos personales en conformidad con:
      • la Normativa de Privacidad Aplicable, según sea modificada y/o complementada;
      • las condiciones y disposiciones previstas en el presente acto;
      • las instrucciones recibidas del Responsable del tratamiento en cada momento;
    • garantizar la implementación y ejecución de todas las medidas técnicas y organizativas necesarias para evitar tratamientos no autorizados o ilícitos, así como pérdidas, daños o destrucciones accidentales de los datos personales;
    • no conservar ninguna copia, extracto, síntesis o resumen de los datos personales, excepto cuando sea necesario para el cumplimiento de las obligaciones legales aplicables y del Contrato;
    • designar e identificar para el Responsable del tratamiento a una persona dentro de su organización autorizada para responder a solicitudes de información por parte del Garante u otras autoridades de control nacionales o extranjeras;
    • designar por escrito a los Encargados del tratamiento de datos personales, de acuerdo con el art. 2-quaterdecies del Código de Privacidad y el art. 29 del RGPD, quienes llevarán a cabo materialmente las operaciones de tratamiento de datos personales;
    • comunicar por escrito, de manera oportuna y no más tarde de 48 horas, al Responsable del tratamiento en caso de un "Data Breach" para que este último pueda adoptar las medidas oportunas según lo dispuesto en los arts. 33 y 34 del RGPD.
  9. Las obligaciones derivadas del presente acto serán interpretadas y cumplidas por el Responsable de conformidad con la Normativa de Privacidad Aplicable, incluyendo cualquier modificación o integración que pueda surgir tras la firma del mismo.
  10. El Responsable del tratamiento mantiene el derecho de verificar periódicamente las medidas organizativas y de seguridad de los Datos personales adoptadas por el Responsable, con el objetivo de garantizar el cumplimiento de las instrucciones impartidas, así como de la Normativa de Privacidad Aplicable, incluyendo sus modificaciones o integraciones posteriores.
  11. La presente designación se considerará revocada al momento de la terminación del Contrato, cualquiera que sea la causa de dicha terminación.
  12. Las Partes se comprometen a modificar y/o integrar las disposiciones del presente acto en cumplimiento de la Normativa de Privacidad Aplicable, incluyendo sus modificaciones o integraciones posteriores, en la medida necesaria para garantizar la plena conformidad de este acto con dicha normativa.

Ato de Nomeação do Responsável pelo Tratamento de Dados Pessoais

Entre

O profissional de saúde/estrutura de saúde, representado pelo seu Representante Legal, (doravante, o “Titular” ou o “Profissional”)

E

MIR - Medical International Research S.p.A., com sede legal em 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, representada pelo seu Representante Legal (doravante, o “Responsável” ou “MIR”)

(doravante também individualmente a “Parte” e conjuntamente as “Partes”)

Considerando Que

  • O Titular e MIR - Medical International Research S.p.A firmaram um contrato que prevê a prestação de serviços de assistência e manutenção do dispositivo médico (doravante, o “Dispositivo”) comercializado pela MIR e utilizado pelo Titular no exercício da sua atividade profissional de saúde (doravante, o “Contrato”);
  • nos termos do art. 24 do Regulamento Europeu nº 2016/679 (doravante, o “GDPR”), o Profissional é o Titular do tratamento de dados pessoais (incluindo categorias especiais de dados conforme o art. 9 do GDPR) contidos no Dispositivo;
  • para a execução da tarefa mencionada acima, MIR - Medical International Research S.p.A é designada pelo Titular para realizar operações de tratamento de dados pessoais identificáveis de terceiros (incluindo categorias especiais de dados conforme o art. 9 do GDPR);
  • é vontade dos signatários deste ato regulamentar as relações mútuas no que diz respeito aos perfis relevantes nos termos do GDPR, em conformidade com o Decreto Legislativo nº 196 de 2003, conforme alterado pelo Decreto Legislativo nº 101 de 2018 (doravante, o “Código de Privacidade”) e as demais normas aplicáveis ao tratamento de dados pessoais, incluindo as deliberações da Autoridade de Garantia para a Proteção de Dados Pessoais e outras autoridades de supervisão competentes, bem como os atos adicionais de adequação da legislação nacional às disposições do GDPR (doravante, coletivamente, a “Normativa de Privacidade Aplicável”).

Tudo o Que Foi Considerado

As Partes concordam com o seguinte “Atto di nomina di responsabile dei trattamenti di dati personali”.

  1. Com a assinatura deste ato, o Profissional, na qualidade de Titular do tratamento, nomeia MIR - Medical International Research S.p.A, em conformidade com o art. 28 do GDPR, como Responsável pelo tratamento de dados pessoais (doravante, o “Responsável”).
  2. O tratamento de dados realizado pelo Responsável em nome do Titular será executado exclusivamente para os fins previstos no Contrato ou posteriormente acordados por escrito entre as Partes.
  3. O Responsável implementará medidas técnicas e organizacionais adequadas de forma a garantir que o tratamento satisfaça os requisitos previstos no GDPR e na Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada de tempos em tempos, e garanta a proteção dos direitos do titular dos dados. O Responsável assegura a equivalência de suas medidas de segurança em relação às adotadas pelo Titular.
  4. Com a presente nomeação, o Profissional autoriza o Responsável a realizar tratamentos de dados pessoais de forma eletrônica e/ou manual, em conformidade com a Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada de tempos em tempos. Fica entendido que os tratamentos terão como objeto:
    • “dados pessoais comuns” / “identificativos”;
    • categorias especiais de dados conforme o art. 9 do GDPR (dados de saúde);
  5. Em particular, o Responsável compromete-se a:
    • verificar e monitorar constantemente que os tratamentos sejam realizados de forma lícita, com justiça e em conformidade com o princípio da necessidade, para fins determinados, explícitos e legítimos, e de forma não incompatível com tais fins;
    • em conformidade com o art. 30 do GDPR, onde aplicável ou, em qualquer caso, onde exigido pelo Titular, manter um registro de todas as categorias de atividades relacionadas ao tratamento realizadas em nome do Titular;
    • tratar os dados pessoais apenas com instrução documentada do Titular do tratamento, inclusive em caso de transferência de dados pessoais para um país terceiro ou uma organização internacional, salvo quando exigido pela legislação da União ou nacional à qual o Responsável pelo tratamento está sujeito; neste caso, o Responsável pelo tratamento informa o Titular sobre esta obrigação legal antes do tratamento, a menos que a lei proíba tal informação por motivos relevantes de interesse público;
    • delegar algumas de suas obrigações a uma ou mais pessoas responsáveis por aspectos específicos do tratamento, em qualquer caso, realizando uma supervisão rigorosa das atividades dessas pessoas e verificando periodicamente se cumprem seus deveres em conformidade com as instruções escritas fornecidas pelo Titular. Em qualquer caso, o Responsável garantirá que as pessoas autorizadas a tratar os dados pessoais comprometam-se com a confidencialidade ou tenham uma obrigação legal de confidencialidade adequada;
    • adotar todas as medidas adequadas de proteção de dados, conforme o art. 32 do GDPR e da Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada de tempos em tempos;
    • considerando a natureza do tratamento, auxiliar o Titular com medidas técnicas e organizacionais adequadas, na medida do possível, a fim de atender à obrigação do Titular de responder às solicitações para o exercício dos direitos do titular dos dados previstos na Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada de tempos em tempos, especialmente nos termos dos arts. 15 e seg. do GDPR;
    • auxiliar o Titular a garantir o cumprimento das obrigações previstas nos arts. 32 a 36 do GDPR, considerando a natureza do tratamento e as informações disponíveis para o Responsável;
    • sob instrução do Titular, apagar ou devolver todos os dados pessoais após a prestação dos serviços relacionados ao tratamento e apagar as cópias existentes, salvo disposição da legislação da União ou dos Estados-Membros que exija a conservação dos dados por um período determinado;
    • fornecer ao Titular todas as informações necessárias para demonstrar o cumprimento das obrigações do art. 28 do GDPR e permitir e contribuir para as atividades de revisão, incluindo inspeções, realizadas pelo Titular ou por outra pessoa por ele designada. O Responsável compromete-se a informar imediatamente o Titular caso, em sua opinião, uma instrução viole a Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada, ou outras disposições nacionais ou da União, relacionadas à proteção de dados;
    • designar, nos casos previstos no art. 37 do GDPR, um Responsável pela proteção de dados pessoais.
  6. O Responsável não recorrerá a outro Responsável – para a execução de atividades específicas de tratamento em nome do Titular do tratamento – sem prévia autorização escrita, específica, do Titular do tratamento. Nesse caso, ao outro Responsável pelo tratamento serão impostas, por meio de um contrato ou outro ato jurídico, as mesmas obrigações em matéria de proteção de dados contidas no presente ato. Fica entendido que, caso o outro Responsável pelo tratamento deixe de cumprir suas obrigações em matéria de proteção de dados, o Responsável permanecerá integralmente responsável perante o Titular do tratamento pelo cumprimento das obrigações do outro Responsável. Fica entendido que o Responsável será plenamente responsável perante o Titular pelo total cumprimento da Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada, e das presentes instruções pelos terceiros dos quais se valer na execução do Contrato.
  7. O Responsável garante que tratará os dados pessoais de titularidade do Titular exclusivamente para cumprir as obrigações contratuais. Em particular, o Responsável garante que não divulgará ou comunicará tais dados, nem os colocará à disposição, direta ou indiretamente, de terceiros, salvo nas hipóteses em que tal seja necessário para cumprir obrigações legais ou previstas no Contrato.
  8. O Responsável compromete-se ainda a:
    • elaborar e gerir os dados pessoais em conformidade:
      • com a Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada;
      • com as condições e previsões contidas no presente ato;
      • com as instruções recebidas, periodicamente, do Titular;
    • garantir a implementação e a execução de todas as medidas técnicas e organizacionais necessárias para evitar operações não autorizadas ou ilícitas ou perdas, danos ou destruições acidentais dos dados pessoais;
    • não reter qualquer cópia, extrato, síntese ou resumo dos dados pessoais, exceto quando necessário para cumprir obrigações previstas pela legislação aplicável e pelo Contrato;
    • designar e identificar, para o Titular, um indivíduo dentro da própria organização, autorizado a responder a pedidos de informações de autoridades nacionais ou estrangeiras de supervisão ou do Encarregado.
    • designar por escrito os encarregados do tratamento de dados pessoais, nos termos do art. 2-quaterdecies do Código de Privacidade e do art. 29 do GDPR, que realizarão materialmente as operações de tratamento de dados pessoais;
    • fornecer comunicação escrita, tempestiva e não além de 48 horas, ao Titular em caso de "Data Breach", para que este possa tomar as medidas apropriadas conforme previsto nos arts. 33 e 34 do GDPR.
  9. As obrigações decorrentes do presente ato serão interpretadas e cumpridas pelo Responsável em conformidade com a Regulamentação de Privacidade Aplicável e com qualquer eventual modificação e integração que possam surgir após a assinatura deste.
  10. O Titular mantém o direito de verificar periodicamente as medidas organizacionais e de segurança dos Dados pessoais adotadas pelo Responsável, a fim de garantir a observância, por parte deste e de seus funcionários e colaboradores encarregados do tratamento, das instruções emitidas, bem como da Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada ao longo do tempo.
  11. A presente nomeação será considerada revogada no momento da cessação do Contrato, por qualquer motivo que isso ocorra.
  12. As Partes comprometem-se a modificar e/ou integrar as disposições constantes na presente nomeação em conformidade com a Regulamentação de Privacidade Aplicável, conforme modificada e/ou complementada ao longo do tempo, e na medida em que tal seja necessário para garantir a plena conformidade do presente ato com a referida regulamentação.

Appointment Act of Data Processing Manager

Between

The healthcare professional/healthcare facility, represented by its Legal Representative, (hereinafter referred to as the “Controller” or the “Professional”)

And

MIR - Medical International Research S.p.A., headquartered at 00173 - Rome, Via Luigi Schiavonetti n. 270, VAT No. 04564101006, represented by its Legal Representative (hereinafter referred to as the “Processor” or “MIR”)

(hereinafter also individually referred to as the “Party” and collectively as the “Parties”)

Whereas

  • The Controller and MIR - Medical International Research S.p.A. have entered into a contract for the provision of support and maintenance services for the medical device (hereinafter referred to as the “Device”) marketed by MIR and used by the Controller in the performance of their professional healthcare activities (hereinafter referred to as the “Contract”);
  • Pursuant to Article 24 of the European Regulation No. 2016/679 (hereinafter referred to as the “GDPR”), the Professional is the Controller of the processing of personal data (including special categories of data under Article 9 of the GDPR) contained within the Device;
  • For the performance of the aforementioned task, MIR - Medical International Research S.p.A. is designated by the Controller to perform data processing operations on personal data identifying third parties (including special categories of data under Article 9 of the GDPR);
  • It is the will of the signatories of this act to regulate their reciprocal relationships concerning aspects relevant under the GDPR, in compliance with Legislative Decree No. 196 of 2003, as amended by Legislative Decree No. 101 of 2018 (hereinafter referred to as the “Privacy Code”), and other applicable regulations on the processing of personal data, including rulings by the Data Protection Authority and other competent supervisory authorities, and further measures adapting national legislation to the GDPR (hereinafter collectively referred to as the “Applicable Privacy Law”).

Now, Therefore

The Parties agree to the following “Appointment Act of Data Processing Manager”.

  1. By signing this act, the Professional, in their capacity as Data Controller, appoints MIR - Medical International Research S.p.A, in accordance with Art. 28 of the GDPR, as the Data Processor (hereinafter referred to as the “Processor”).
  2. The data processing carried out by the Processor on behalf of the Controller will be performed exclusively for the purposes outlined in the Contract or subsequently agreed upon in writing by the Parties.
  3. The Processor shall implement appropriate technical and organizational measures to ensure that the processing complies with the requirements set forth in the GDPR and the Applicable Privacy Regulations, as amended or supplemented from time to time, and guarantees the protection of the rights of the data subjects. The Processor ensures equivalence between its security measures and those implemented by the Controller.
  4. With this appointment, the Professional authorizes the Processor to carry out personal data processing in electronic and/or manual form, in compliance with the Applicable Privacy Regulations, as amended or supplemented from time to time. It is understood that the processing will concern:
    • "common personal" / "identifiable" data;
    • special categories of data under Art. 9 of the GDPR (health data);
  5. Specifically, the Processor undertakes to:
    • continuously verify and monitor that the processing is carried out lawfully, fairly, and in compliance with the principle of necessity, for specified, explicit, and legitimate purposes, and in ways compatible with such purposes;
    • maintain a record of all categories of processing activities performed on behalf of the Controller, pursuant to Art. 30 of the GDPR, if applicable, or, in any case, upon the Controller's request;
    • process personal data only based on documented instructions from the Data Controller, even in the case of data transfers to a third country or an international organization, unless such transfer is required by Union or national law to which the Processor is subject; in this case, the Processor will inform the Controller of such legal requirement before processing, unless the law prohibits such information for reasons of substantial public interest;
    • delegate certain obligations to one or more individuals tasked with specific aspects of the processing, while ensuring strict supervision of these individuals' activities and periodically verifying their compliance with the written instructions provided by the Controller. The Processor will also ensure that individuals authorized to process personal data commit to confidentiality or are subject to an appropriate legal obligation of confidentiality;
    • adopt all necessary data protection measures under Art. 32 of the GDPR and the Applicable Privacy Regulations, as amended or supplemented from time to time;
    • taking into account the nature of the processing, assist the Controller with appropriate technical and organizational measures, where possible, to meet the Controller's obligation to respond to data subject requests as specified by the Applicable Privacy Regulations, particularly as set out in Articles 15 and following of the GDPR;
    • assist the Controller in ensuring compliance with the obligations set out in Articles 32 to 36 of the GDPR, taking into account the nature of the processing and the information available to the Processor;
    • delete or return all personal data to the Controller upon completion of the services related to processing and delete existing copies unless Union or Member State law requires the data's retention for a specified period;
    • make all information necessary to demonstrate compliance with the obligations set out in Art. 28 of the GDPR available to the Controller and allow and contribute to audits, including inspections, conducted by the Controller or another party authorized by them. The Processor agrees to promptly inform the Controller if, in its opinion, an instruction violates the Applicable Privacy Regulations, as amended or supplemented from time to time, or other national or Union provisions regarding data protection;
    • appoint a Data Protection Officer as required under Art. 37 of the GDPR.
  6. The Processor will not engage another Processor to carry out specific data processing activities on behalf of the Controller without prior written and specific authorization from the Controller. In such cases, the same obligations regarding data protection as those outlined in this document will be imposed on the other Processor through a contract or another legal act. It is understood that if the other Processor fails to fulfill their data protection obligations, the original Processor will retain full responsibility towards the Controller for the fulfillment of the other Processor's obligations. Furthermore, the Processor will remain fully accountable to the Controller for the complete adherence to the Applicable Privacy Regulations, as amended or supplemented from time to time, and the instructions provided in this agreement by any third parties engaged in the execution of the Contract.
  7. The Processor guarantees that it will process the personal data owned by the Controller exclusively to fulfill contractual obligations. Specifically, the Processor ensures that such data will not be disclosed or shared, nor made available directly or indirectly, to third parties, except where necessary to comply with legal obligations or as provided by the Contract.
  8. The Processor also commits to:
    • processing and managing personal data in compliance with:
      • the Applicable Privacy Regulations, as amended or supplemented from time to time;
      • the conditions and provisions outlined in this agreement;
      • the instructions received from the Controller from time to time.
    • ensuring the implementation and execution of all necessary technical and organizational measures to prevent unauthorized or unlawful processing, loss, damage, or accidental destruction of personal data;
    • refraining from retaining any copy, extract, summary, or compilation of personal data, except where required for the execution of obligations under applicable law and the Contract;
    • appointing and identifying an individual within its organization authorized to respond to requests for information from the Supervisory Authority or other national or foreign authorities;
    • formally appointing the Data Processors, in accordance with Article 2-quaterdecies of the Privacy Code and Article 29 of the GDPR, who will physically carry out the data processing operations;
    • promptly providing written notification, no later than 48 hours, to the Controller in the event of a so-called “Data Breach”, so that the Controller can take the appropriate measures as required by Articles 33 and 34 of the GDPR.
  9. The obligations arising from this agreement will be interpreted and fulfilled by the Processor in accordance with the Applicable Privacy Regulations and any amendments or integrations that may occur following its signing.
  10. The Controller retains the right to periodically verify the organizational and security measures adopted by the Processor regarding personal data, in order to ensure compliance, by the Processor and its employees or collaborators involved in the processing, with the instructions provided as well as with the Applicable Privacy Regulations, as amended or supplemented from time to time.
  11. This appointment will be deemed revoked upon termination of the Contract, regardless of the reason.
  12. The Parties agree to amend and/or supplement the provisions of this appointment in compliance with the Applicable Privacy Regulations, as amended or supplemented from time to time, and to the extent necessary to ensure full compliance of this agreement with said regulations.