Informativa Privacy Fornitori

14 maggio 2019

INFORMATIVA PRIVACY FORNITORI
ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 e del D.lgs. 196/2003 e s.m.i.

Ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016, relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, di seguito indicato “GDPR”, l’Azienda Ospedaliero-Universitaria di Cagliari, di seguito indicata “AOU”, informa che:

Il Titolare del Trattamento dati è: Azienda Ospedaliero Universitaria di Cagliari

Sede legale: Via Ospedale 54, 09124 Cagliari
PEC: dir.generale@pec.aoucagliari.it
email: dir.generale@aoucagliari.it

Il Responsabile della Protezione dei Dati (DPO) è contattabile via email all’indirizzo: dpo@aoucagliari.it.

La presente informativa è destinata ai nostri fornitori, che devono trasmetterla agli interessati di propria competenza, quali dipendenti, collaboratori, referenti e subappaltatori coinvolti con l’AOU.

Finalità e basi giuridiche del trattamento dati
I dati personali dei fornitori e del personale in servizio nell’AOU per conto dei fornitori sono trattati secondo i principi di liceità e correttezza nell’osservanza del GDPR e vengono utilizzati nel rispetto dei diritti, delle libertà fondamentali e della dignità della persona per le finalità legate agli adempimenti precontrattuali (come la valutazione e negoziazione di offerte e l’instaurazione di relazioni contrattuali), all’esecuzione, gestione e perfezionamento dei contratti tra titolare e fornitore e agli adempimenti successivi alla risoluzione dei contratti, per l’espletamento di tutti gli adempimenti connessi o derivanti per il periodo necessario alla loro risoluzione sotto il profilo economico e giuridico, in assolvimento di norme legislative, contrattuali e regolamentari, o comunque in stretta correlazione con le competenze istituzionali in materia dei contratti, in particolare per:

  • Ricerche di mercato e negoziazione di offerte;
  • Partecipazione e gestione di gare pubbliche e offerte private;
  • Instaurazione di relazioni contrattuali;
  • Gestione anagrafica dell’albo fornitori ai fini della qualificazione e dell’accreditamento;
  • Gestione anagrafica del personale in servizio nell’AOU per conto dei fornitori;
  • Gestione di eventuali subappaltatori dei fornitori;
  • Identificazione e gestione degli accessi alle strutture aziendali;
  • Gestione degli accessi ad ambienti sensibili (es. sale operatorie) tramite dati biometrici;
  • Adempimenti degli obblighi contrattuali, amministrativi, legali, fiscali e commerciali;
  • Accertamenti, esercizio e difesa dei propri diritti in sede giudiziaria;
  • Adempimenti verso organi ed autorità di vigilanza, controllo e giudiziarie.

Il trattamento dei dati personali è necessario per l’esecuzione di misure precontrattuali adottate su richiesta dei fornitori, per l’esecuzione del contratto e per adempiere ad obblighi legali derivanti dallo stesso (art. 6, par. 1, lett. b e c, GDPR). Oltre alle finalità elencate, sulle base delle premesse giuridiche suesposte, i dati personali potranno essere trattati anche per il perseguimento di legittimi interessi del Titolare o di terzi, in particolare per ricerche di mercato, attività di controllo interno, sicurezza informatica, videosorveglianza per la sicurezza aziendale e delle persone, gestione degli accessi ad ambienti aziendali, azioni fiscali e tributarie legate ad attività finalizzate alla generale sostenibilità economica aziendale, ai sensi dell’art. 6, par. 1, lett. f, GDPR.
Qualora il personale messo a disposizione dai fornitori dovesse accedere ad ambienti particolarmente sensibili, quali per esempio sale operatorie e laboratori, il Titolare può trattare anche dati personali particolari (dati genetici e biometrici) ai fini dell’identificazione per consentire l’accesso a tali strutture, ai sensi dell’art. 9, par. 2, lett. b, GDPR.

Fonti dei dati personali
Oltre ai dati raccolti direttamente presso i fornitori e dagli interessati in servizio nell’AOU per conto dei fornitori, si informano gli interessati ai sensi dell’art. 14 del GDPR, che l’AOU può ottenere dati personali anche tramite ricerche di mercato e da terzi collaboratori con i fornitori e/o con l’AOU.

Modalità di trattamento dei dati personali
Il trattamento dei dati presso l’AOU è effettuato con strumenti manuali, automatizzati ed informatici, nella misura necessaria al perseguimento delle finalità sopra elencate ed in modo da garantire la massima sicurezza e riservatezza dei dati, consentendo l’accesso solo ai soggetti autorizzati al trattamento.

Categorie di destinatari dei dati personali
I dati raccolti ed elaborati possono essere comunicati per le finalità sopra specificate alle seguenti categorie di destinatari:

  • Strutture aziendali coinvolte nella gestione amministrativa, economica, fiscale, legale, tecnica ed informatica, relativa ai contratti con i fornitori;
  • Società per la gestione della sicurezza aziendale;
  • Collegio sindaci revisori;
  • Consulenti legali e di settore;
  • Enti pubblici per gli adempimenti di legge;
  • Ministero delle finanze, Agenzia delle Entrate ed enti ministeriali;
  • Commissioni tributarie regionali e provinciali;
  • Società di assicurazioni;
  • Istituti di credito;
  • Società di recupero del credito e consulenza contrattuale;
  • Organizzazioni imprenditoriali, alle quali aderisce l'azienda;
  • Enti, società, fornitori pubblici e privati con cui l’Azienda abbia instaurato rapporti e convenzioni necessari per l’assolvimento di obblighi derivanti da norme di legge, contrattuali, regolamentari e per il raggiungimento dei propri interessi legittimi in correlazione con le competenze istituzionali in materia di contratti con i fornitori.

Nel caso di affidamenti a fornitori esterni, l’Azienda designerà gli stessi in qualità di “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR, che garantisce la tutela dei dati personali in modo analogo a quelli che vengono trattati all’interno dell’AOU di Cagliari.

Trasferimenti dei dati all’estero
Il titolare non trasferisce i dati personali in paesi terzi o organizzazioni internazionali. Tuttavia si riserva la facoltà di utilizzare fornitori esterni con sedi legali all’estero e/o servizi in cloud. In tal caso, i fornitori di tali servizi saranno selezionati tra coloro che forniscono garanzie adeguate, cosi come previsto dall’art. 46 del GDPR.

Durata di conservazione dei dati personali
I dati personali sono trattati e conservati sia in formato cartaceo che con mezzi informatici per il tempo necessario all’espletamento di tutte le finalità relative al contratto e per l’adempimento degli obblighi di legge in materia di trasparenza per le aziende pubbliche sanitarie ovvero per un periodo illimitato.

Diritti degli Interessati
In base agli artt. da 15 a 22 del GDPR, gli interessati hanno il diritto di chiedere in qualunque momento al titolare del trattamento l’accesso ai propri dati personali, la rettifica di dati inesatti, l’integrazione di dati incompleti, una copia dei dati trattati, la portabilità dei dati, la limitazione del trattamento, l’opposizione al trattamento o la cancellazione dei dati, nei limiti previsti dal GDPR e dal D.lgs. 196/2003 e s.m.i.
Se i dati sono stati ottenuti da banche dati di altre aziende, enti e servizi, gli interessati possono richiedere informazioni sull’origine di tali dati.

Qualora si ritenesse che ci sia stata una violazione dei dati personali in base al GDPR e/o alle norme nazionali sulla privacy, gli interessati hanno il diritto di proporre reclamo all’Autorità di controllo nello Stato membro in cui risiedono abitualmente, lavorano oppure del luogo ove si è verificata la presunta violazione. L’autorità di controllo italiano è individuato nel “Garante per la protezione dei dati personali”. Per esercitare tale diritto, è disponibile un “modello di reclamo” sul sito WEB del Garante.

Qualora l’AOU accertasse una violazione dei dati personali, essa si impegna a darne comunicazione agli interessati ed a notificarla all’Autorità del Garante, come previsto dagli artt. 33 e 34 del GDPR.

Conferimento dei dati personali
Il conferimento dei dati personali è facoltativo ma necessario per la gestione degli adempimenti precontrattuali, per l’instaurazione del contratto e per le attività derivanti. Il mancato, parziale o inesatto conferimento dei dati comporta pertanto l’impossibilità di instaurazione, esecuzione e gestione del contratto e, qualora il contratto fosse già concluso, impedisce di proseguirne l'esecuzione, in quanto causerebbe l’inadempienza degli obblighi legali da parte dell’AOU.

Ulteriori informazioni.
Per ogni ulteriore informazione riguardante il trattamento dei dati, si fa riferimento alle vigenti normative in merito, come il GDPR, il D.lgs. 196/2003 e s.m.i.
Rev. 1 – 9.5.2019