Disclaimer

La ringraziamo per aver scaricato la App Liver-Note (di seguito: la App) oggetto di questa informativa privacy; la gestione dei dati personali in modo sicuro e protetto è una nostra priorità fin dalla progettazione dei flussi di trattamento, che tiene conto dei principi della “Privacy by Design”. L’utilizzo della App è riservato a soggetti maggiorenni. In caso venissero trattati dal professionista sanitario dati di minori, questi dovranno venire preventivamente autorizzati da chi esercita la responsabilità genitoriale o da questi è stato delegato nelle modalità previste dalla legge.

Le finalità della App sono di favorire e consentire la condivisione fra personale sanitario di informazioni (anche relative a dati definiti “particolari” dalla normativa privacy) sui pazienti, al fine di poter migliorare l’efficacia di cure ed interventi sui pazienti stessi. Il singolo professionista sanitario che carica i dati del proprio paziente dichiara di aver ricevuto il consenso preventivo dello stesso all’utilizzo dei suoi dati sulla piattaforma della App. Il singolo professionista sanitario opera quindi in qualità di Titolare del trattamento. La gestione dei dati personali attuata mediante la App, rientra quindi nell’ambito di applicazione della telemedicina specialistica in cui lo specialista sanitario e paziente non condividono lo stesso luogo.

La gestione dei dati da parte di Medical-Note srl in qualità di Responsabile del trattamento dei dati personali (di seguito Azienda), avverrà nel rispetto dei principi sanciti dal Regolamento Ue 679/2016 (General Data Protection Regulation - Gdpr) come descritti nel testo ufficiale consultabile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT. Come indicato dalle linee guida del WP29 (oggi denominato Consiglio Europeo per la Protezione dei Dati - EDPB), del 2013 e ribadito dal Gdpr, la normativa comunitaria trova applicazione ogniqualvolta una parte coinvolta nello sviluppo, nella distribuzione e nel funzionamento di applicazioni sia qualificata responsabile del trattamento e si trovi in uno Stato dell’UE. Troverà applicazione la norma UE anche quando si ricorre a strumenti situati nel territorio UE.

La App attua quanto dichiarato nel documento https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps basato sulle linee guida “Privacy Code of Conduct on mobile health (mHealth) apps”, sviluppato in collaborazione con il WP29/ Consiglio Europeo per la Protezione dei Dati – EDPB. Nello specifico, i principi di privacy-by-design, minimizzazione, pseudonimizzazione, cifratura dei dati, cancellazione dei dati, data retention, policy di trasparenza sono stati oggetto di valutazione e applicazione nei modi di seguito descritti.

Desideriamo di seguito condividere le definizioni principali utilizzate nei documenti di informativa privacy, in modo da rendere chiari i contenuti delle dichiarazioni che produciamo, con la massima trasparenza. Definizioni - Ai fini del regolamento Gdpr s’intende per:

1) «dato personale »: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

21) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

22) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione.

Finalità di trattamento.

Medical-Note srl in qualità di Responsabile del trattamento dei dati La informa che per attivare e gestire le funzionalità della App effettuerà dei trattamenti di dati personali, compresi quelli cd. “particolari” in quanto idonei a rivelare lo stato di salute, ove caricati dall’utilizzatore (che opera in qualità di Titolare del trattamento) dell’App, per le seguenti finalità:

• Fruizione dei servizi offerti dalla App, che sono di seguito elencati:

o Consulto medico multidisciplinare in forma anonima, mediante condivisione dei dati clinici di pazienti non identificabili da soggetti diversi da parte dell’utilizzatore della App.

o l’esplorazione di un modello 3D del fegato (o di altri organi interni) e possibilità di inserire e memorizzare dei punti nello spazio tridimensionale del modello.

MODALITÀ DEL TRATTAMENTO E TERMINI E CONDIZIONI GENERALI DI UTILIZZO

Il trattamento sarà svolto dal Responsabile del trattamento in forma elettronica automatizzata, con modalità e strumenti volti a garantire la massima sicurezza e riservatezza, ad opera di soggetti appositamente incaricati in ottemperanza a quanto previsto dalla normativa vigente. I dati personali saranno conservati sul device sul quale viene scaricata ed utilizzata la App, sul server applicativo gestito dal Responsabile del trattamento (localizzato in Stati membri della Ue sulla base di contratti di servizio con specifiche garanzie di sicurezza ed il cui elenco può venire richiesto alle coordinate di contatto di seguito riportate), per dar seguito ai servizi da fornire per il tempo strettamente necessario per le finalità di cui sopra.

I dati cd. “particolari” inseriti dallo specialista sanitario rimarranno associabili al paziente solo dallo stesso specialista, mentre la condivisione con altri specialisti potrà avvenire con modalità guidate dalla App per i soli dati anonimizzati con codice identificativo ai pazienti, non identificabili quindi dai soggetti terzi oggetto della condivisione dei soli dati clinici inseriti dal Titolare del trattamento. Non vi è quindi condivisione di dati clinici con soggetti terzi né diffusione degli stessi.

All’interno della App sono gestite le seguenti entità:

• Entità paziente - Anagrafica con dati identificativi del Paziente ove caricati dall’utilizzatore della App.

• Entità Cartella – Contenitore di oggetti per la diagnosi

• Entità informativa del modello 3D per il paziente associato con le posizioni delle lesioni

• Gestione delle lesioni per il modello 3D

• Allegati multimediali: foto, video fatti tramite la App.

Le misure di sicurezza attivate dal Responsabile del trattamento prevedono la cifratura dei dati anagrafici dei pazienti e degli allegati: i dati che transitano dalla App al server cloud sono cifrati attraverso il protocollo HTTPS (con certificato di cifratura attendibile rilasciato da una autorità di certificazione), le password registrate sul DataBase applicativo sono cifrate attraverso un sistema interno che le rende non leggibili in chiaro. La pseudonimizzazione dei dati anagrafici dei pazienti avviene mediante gestione dei dati su database separati, essendo i database applicativi due, distinti e accessibili con credenziali non condivise:

• Database anagrafico (pazienti) contiene la sola anagrafica dei pazienti ed il loro codice di identificazione

• Database applicativo (cartelle, oggetti, documenti) si relaziona al paziente con il solo codice identificato, ma ne sono assenti i dati identificativi anagrafici.

L'utente Titolare di trattamento dichiara e garantisce di: (i) non risiedere e non trasferire l'App in un Paese soggetto a embargo da parte della Comunità Europea o dal governo statunitense o canadese o che sia stato designato dal governo statunitense o canadese come paese "di supporto al terrorismo"; e (ii) di non essere incluso in alcuna delle "liste di prescrizione" dei soggetti non autorizzati o limitati, incluso l'elenco Specially Designated Nationals And Blocked Persons List (SDN) pubblicato dal Treasury's Office of Foreign Assets Control ("OFAC") degli Stati Uniti d’America e consultabile qui https://www.treasury.gov/resource-center/sanctions/SDN-List/Pages/default.aspx, o nell’elenco “Denied Persons List” del Bureau of Industry and Security statunitense consultabile qui https://www.bis.doc.gov/index.php/the-denied-persons-list.

I Termini e Condizioni d’uso presenti sono disciplinati dalla legge italiana, escluse le norme sul conflitto internazionale di leggi. Qualora fossero rilasciate versioni dei presenti Termini e Condizioni d’uso in altra lingua, l’utente prende atto che le versioni in lingua diversa sono fornite a puro scopo indicativo e che l’unica versione vincolante per le parti è quella in lingua italiana. Per qualsiasi controversia riguardante l’interpretazione e l’applicazione dei presenti Termini e Condizioni d’uso, o comunque da essi nascente, sarà competente in via esclusiva il Foro di Pisa, in Italia.

Qualora una parte del presente documento sia ritenuta non valida o inapplicabile, tale parte sarà interpretata in modo coerente con la legge in vigore, per riflettere, quanto più fedelmente possibile, le intenzioni originali delle parti, mentre le disposizioni rimanenti manterranno pieno vigore ed efficacia. La mancata applicazione da parte produttore della APP di qualsiasi diritto o disposizione dei presenti Termini e Condizioni non costituirà una rinuncia a questa o ad altre disposizioni. Le disposizioni contenute nei presenti Termini e Condizioni d’uso sono da considerarsi inderogabili.

AMBITO DI COMUNICAZIONE E DIFFUSIONE

I dati personali il cui trattamento è strettamente correlata alla gestione di APP non sono soggetti a diffusione. I dati potranno venire comunicati a (elenco esemplificativo e non esaustivo):

• soggetti che forniscono servizi per la gestione della APP e la rendono fruibile dal cloud

• autorità competenti per adempimenti di obblighi di legge, su richiesta delle stesse.

Conservazione dei dati e data breach.

I dati personali dell’utente in APP possono essere utilizzati per la difesa da parte del Responsabile del trattamento in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione, da abusi nell'utilizzo della stessa o dei servizi connessi da parte dell’Utente. L’utente, accettando i contenuti della presente informativa, dichiara di essere consapevole che al Responsabile del trattamento potrebbe essere richiesto di rivelare i dati su richiesta delle pubbliche autorità, nei casi previsti dalla normativa vigente. I dati che verranno inseriti in APP verranno conservati per il periodo di utilizzo della App da parte degli utenti attivi. Sono state adottate specifiche misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

I dati verranno trattati fino alla cessazione del servizio, dovuta a chiusura dell’account utente o alla scadenza del periodo di licenza. In caso di chiusura dell’account da parte del Titolare del trattamento, i dati presenti sul server cloud e sul device in cui è stata installata la App verranno cancellati permanentemente. I dati sul server cloud verranno cancellati completamente (salvataggi inclusi) entro il periodo di eliminazione dei salvataggi periodici concordato nel contratto di servizio con i fornitori dei sistemi di archiviazione e gestione dei dati in cloud, periodo comunque non superiore ai 3 mesi.

Esercizio dei diritti dell’interessato.

Ai sensi della Normativa Applicabile, il Responsabile del trattamento informa che gli utilizzatori della App possono esercitare i propri diritti come previsto dagli artt. 15 e segg. del Regolamento Ue 679/2016, mediante richiesta attraverso email all’indirizzo info@medical-note.com .

L’esercizio dei diritti nei confronti dei Titolari di trattamento potrà avvenire sulla base delle coordinate da questi inserite nelle proprie informative, al momento della raccolta dei consensi al trattamento.

Diritti di proprietà intellettuale e condizioni di licenza

Ove non diversamente disposto, tutti i diritti relativi all’APP”, di qualunque natura essi siano, sono di proprietà esclusiva di Medical-Note srl . Tutti i diritti d’autore e ogni altro diritto di proprietà intellettuale o industriale o qualunque altro diritto di qualsiasi natura, relativo all’APP, ai suoi contenuti, al servizio con essa fornito, o in qualunque altro modo ad essa collegato, si intendono riservati e protetti dalle norme nazionali, europee e internazionali in materia di proprietà intellettuale e/o industriale. La violazione dei diritti derivanti può, pertanto, comportare l'applicazione di sanzioni penali, civili o amministrative previste dalle norme di riferimento.

Conformemente alle disposizioni normative vigenti, all’utente è concessa una licenza limitata, revocabile, non esclusiva, non cedibile, non trasferibile e non sub-licenziabile, avente ad oggetto il diritto di scaricare, installare e utilizzare l’APP, e di visualizzare e memorizzare sul suo dispositivo (a sua discrezione, sotto la sua responsabilità e laddove consentito dall’applicazione stessa) le informazioni e i dati con esso veicolati. L’utente può scaricare, installare e utilizzare l’APP su qualsiasi dispositivo autorizzato di sua proprietà o nella sua legittima disponibilità esclusivamente per gli usi consentiti dalla licenza di utilizzo, entro i limiti delle funzionalità immediatamente e direttamente rese disponibili dall’applicazione medesima, e può eseguire, sotto la propria responsabilità, il backup dei propri dati ottenuti attraverso l’applicazione.

L’utente, in ogni caso, si impegna a utilizzare l’APP esclusivamente nel rispetto ed entro i limiti previsti dai Termini e Condizioni d’uso e, comunque, sempre in ossequio alle vigenti disposizioni di legge.

Nomina a responsabile esterno del trattamento

Mediante l’attivazione di un account, lo specialista sanitario utilizzatore dell’App nomina (in qualità di titolare del trattamento), la società Medical-Note srl responsabile esterno del trattamento dei dati ex art. 28 Gdpr, che accetta la nomina.

1. Il trattamento dei dati effettuati dal Responsabile per conto del Titolare sarà eseguito esclusivamente per le finalità di cui al Contratto o successivamente concordate per iscritto tra le Parti.

2. Il Responsabile metterà in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e garantisca la tutela dei diritti dell’interessato.

3. Anche ai sensi dell’art. 29 GDPR, con la presente nomina, il Titolare autorizza il Responsabile a effettuare trattamenti dei dati personali in forma elettronica e/o manuale, in conformità con la Normativa Privacy Applicabile.

Resta inteso che i trattamenti avranno a oggetto:

• “personali comuni” / “identificativi” / “particolari” contenuti nei database gestito da Medical-Note srl

4. In particolare, il Responsabile si impegna a:

a) verificare e monitorare costantemente che i trattamenti siano eseguiti in modo lecito, secondo correttezza e nel rispetto del principio di necessità, per scopi determinati, espliciti e legittimi e con modalità non incompatibili con tali scopi;

b) assicurare l’adozione delle misure di sicurezza e delle misure minime di sicurezza di cui agli artt. 31 e ss. del Codice Privacy;

c) ai sensi dell’art. 30 del GDPR, tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto del titolare;

d) trattare i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

e) delegare alcune delle obbligazioni a suo carico a una o più persone incaricate di specifici aspetti del trattamento, in ogni caso effettuando una stretta supervisione delle attività di tali persone e verificando periodicamente che queste compiano i propri doveri in conformità alle istruzioni scritte impartite dal Titolare. In ogni caso il Responsabile garantirà che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

f) adottare tutte le misure richieste ai sensi dell'articolo 32 GDPR;

g) tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato previsti dalla Normativa Privacy Applicabile, inclusi i diritti previsti dall’art. 7 del Codice Privacy, nonché i diritti di cui agli articoli 15 e seguenti del GDPR;

h) assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;

i) su indicazione del titolare, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

j) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentirà e contribuirà alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Il Responsabile del trattamento si impegna a informare immediatamente il Titolare di trattamento qualora, a suo parere, un'istruzione violi il presente GDPR o altre disposizioni nazionali o dell'Unione, relative alla protezione dei dati;

k) designare, nei casi previsti all’art. 37 GDPR, un responsabile della protezione dei dati personali.

5. Il Responsabile potrà ricorrere ad altri responsabili - per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento – con la presente autorizzazione scritta, di valenza generale, del Titolare. In tal caso, all’altro responsabile del trattamento saranno imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente atto. Resta inteso che nel caso in cui l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserverà nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile. Resta inteso che Medical-Note srl sarà pienamente responsabile nei confronti del Titolare, del pieno rispetto della Normativa Privacy Applicabile e delle presenti istruzioni da parte dei terzi di cui si avvalga nell’esecuzione del Contratto.

6. Il Responsabile garantisce che tratterà i dati personali esclusivamente per adempiere agli obblighi contrattuali. In particolare, il Responsabile garantisce che non diffonderà o comunicherà tali dati, né li metterà a disposizione, direttamente o indirettamente a terzi, salvo le ipotesi in cui ciò sia necessario per adempiere ad obblighi di legge o previsti dal Contratto.

7. Il Responsabile si impegna altresì a:

i) elaborare e gestire i dati personali in conformità:

• con la Normativa Privacy Applicabile;

• con le condizioni e previsioni di cui al presente atto; e

ii) garantire l'implementazione e l’esecuzione di tutte le necessarie misure tecniche e organizzative allo scopo di evitare elaborazioni non autorizzate o illecite o perdite, danni o distruzioni accidentali dei dati personali;

iii) non trattenere alcuna copia, estratto, sintesi o riassunto dei dati personali, eccetto ove richiesto per l'esecuzione degli obblighi previsti dalla legge applicabile e dal contratto in essere fra le parti;

iv) designare e identificare per il Titolare un individuo all'interno della propria organizzazione autorizzato a rispondere a richieste di informazioni da parte del Garante ovvero altre autorità di controllo nazionali o straniere;

v) designare per iscritto gli incaricati del trattamento dei dati personali che materialmente compiranno le operazioni di trattamento dei dati personali;

vi) designare per iscritto almeno un amministratore di sistema, in conformità a quanto previsto dal provvedimento adottato dall’Autorità Garante per la Protezione dei Dati Personali in data 27 novembre 2008, nonché rispettare tutte le prescrizioni di cui al predetto provvedimento o a eventuali istruzioni ulteriori dell’Autorità Garante in materia;

vii) comunicazione scritta, senza ritardi, e non oltre le 48 ore dalla scoperta della problematica, al Titolare affinché quest’ultima possa disporre gli opportuni provvedimenti da adottare in caso di Data Breach.

8. Gli obblighi derivanti dal presente atto saranno interpretati e adempiuti dal Responsabile in conformità con la Normativa Privacy Applicabile e con ogni eventuale modifica e integrazione eventualmente intervenuta in seguito alla sottoscrizione dello stesso.

9. Il Titolare mantiene il diritto di verificare periodicamente le misure organizzative e di sicurezza dei Dati personali adottate dal Responsabile, al fine di garantire l'osservanza da parte di quest’ultimo e dei suoi incaricati del trattamento delle istruzioni impartite nonché della Normativa Privacy Applicabile.

10. La presente nomina ha durata pari alla durata del Contratto che lega il fornitore della App all’utilizzatore e si intenderà revocata all’atto della cessazione del Contratto, per qualsiasi causa ciò avvenga. Le Parti si impegnano a modificare e/o integrare le previsioni di cui alla presente nomina nel rispetto della Normativa Privacy Applicabile e nella misura in cui ciò sia necessario per garantire la piena conformità del presente atto con la predetta normativa