Progettazione ed erogazione di servizi di consulenza per l’implementazione di

Sistemi di Gestione per la Qualità, Ambiente e Sicurezza

e predisposizione documentazione su Responsabilità da prodotto e
Norme Tecniche. Progettazione ed erogazione di servizi di
UNI EN ISO 9001 alta formazione, formazione superiore e manageriale.

Spett.le POLIAMBULATORIO ELYSIUM

Via San Gregorio Barbarigo 9
35020 Albignasego (PD)

Preganziol, 17/05/2018

Oggetto: OFFERTA ECONOMICA E CONTRATTUALE RELATIVA

ALL’ADEGUAMENTO AZIENDALE IN MERITO AGLI
ADEMPIMENTI GDPR 2016/679 “NUOVO REGOLAMENTO
PRIVACY”

In allegato alla presente inviamo l’offerta n° 2958 rev. 0.

Distinti saluti

ISO Engineering S.r.l.

Ing. Occari Nicola

ISO Engineering S.r.l.

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
Capitale Sociale int. vers. € 12.000,00 - C.F. e P. IVA – Registro Imprese di Treviso 03060260266
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 2 di 7

OFFERTA 2958 rev 0

Cliente POLIAMBULATORIO ELYSIUM
Via San Gregorio Barbarigo 9
35020 Albignasego (PD)
Referente Dott. Edoardo Albertin
amministrazione@poliambulatorioelysium.it

Indice degli Argomenti

1. SCOPO e DESCRIZIONE DELLE PRESTAZIONI ........................................................................................... 3
1.1. Riepilogo dei principali obblighi 2018................................................................................................. 4
1.2. Quadro delle sanzioni per l’anno 2018 .............................................................................................. 4
2. MODALITA’ ATTUATIVE ................................................................................................................................ 4
2.1. Fase preliminare ...................................................................................................................................... 4
2.2. Realizzazione del progetto ................................................................................................................... 4
3. TEMPI DI REALIZZAZIONE ............................................................................................................................. 6
4. PRESTAZIONI ESCLUSE ................................................................................................................................. 6
5. CONDIZIONI E MODALITÀ DI PAGAMENTO ............................................................................................ 6
5.1. Formazione del Personale ..................................................................................................................... 6
6. VALIDITÀ DELL’OFFERTA.............................................................................................................................. 7
7. PRIVACY ........................................................................................................................................................ 7
8. FORMALIZZAZIONE ...................................................................................................................................... 7

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 3 di 7

1. SCOPO e DESCRIZIONE DELLE PRESTAZIONI

E’ stato approvato il nuovo Regolamento Europeo per il trattamento dei dati personali, che andrà a
sostituire, dal prossimo 25 maggio 2018, le singole normative nazionali ed entrerà immediatamente in
vigore il giorno della sua promulgazione a livello europeo.
Già oggi è possibile adeguarsi a quanto, a brevissimo, prevedrà la nuova normativa, senza peraltro
mancare ad alcun adempimento previsto dall’attuale Legge Nazionale che è in fase di rielaborazione
da parte del Parlamento Italiano. Questo consente all’Azienda interessata di procedere ad una
implementazione e ad un adeguamento del Sistema Privacy, in modo graduale, adeguandolo e
conformandolo alle effettive esigenze, senza doverne rincorrere gli adempimenti e sostenendo costi
notevoli ed imprevisti.
Le principali nuove linee ed adempimenti sono le seguenti:

1. Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e
personale interno e a mantenere un database.
2. All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del trattamento (poi
meglio specificato nell’art. 22), in virtù del quale spetta agli stessi un obbligo generalizzato e
preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni
singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare
i controller sin dalle fasi embrionali dei processi informativi).
3. Imprese ed enti pubblici dovranno introdurre la figura del Data Protection Officer (o privacy
officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in
materia di protezione dei dati; in campo pubblico la nuova struttura sarà sempre obbligatoria,
mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
Si tratta di una nuova figura, incaricata specificatamente per svolgere compiti di
pianificazione, coordinamento e controllo in materia di Privacy all’interno dell’Azienda. La
Figura sarà dotata di effettiva responsabilità civile e penale, delegata in modo fattivo dal
Titolare del trattamento (sulla falsariga, similarmente, della figura del RSPP per la normativa
sulla Sicurezza sul Lavoro).
4. Sarà richiesto alle aziende di ottenere "specifici e espliciti" forme di consenso dagli utenti nelle
operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente
disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al
trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e
contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si
renderà necessaria presumibilmente l’adozione di idonei filtri pop-up volti a saggiare la previa
approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la
prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra
l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal
senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento
(mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c. e 15
D.Lgs. 196/2003). Alla regola del consenso si affianca poi quella sulla trasparenza
dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche
per facilità di consultazione e intelligibilità di forma (l’onere dell’informativa all’interessato,
invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai
conosciutissimo art. 13 D.Lgs. 196/2003).
5. Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di
default il trattamento dei dati personali al minimo necessario, anche riguardo al periodo
massimo di conservazione, e ai soggetti che possono avere accesso ai dati. Questo avrà un
forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali
ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
6. Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a
descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dai
responsabili del trattamento (qualcosa di simile all'attuale DRSP, ma di portata ancora più
ampia). Quindi, la documentazione dovrà essere opportunamente studiata ed
appositamente predisposta al fine di poter supportare e dimostrare l’esistenza ed il corretto
funzionamento del Sistema Privacy aziendale.
7. Per le imprese sarà più facile trasferire i dati all'estero facendo leva sulle proprie regole interne.
8. Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette serious breaches).

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 4 di 7

Ulteriore misura è la predisposizione di un regolamento di protezione dei dati al fine di costituire un

sistema completo per la gestione della sicurezza nella tecnologia dell’informazione, secondo quanto
previsto dagli standard ISO/IEC 27001. La norma è coerente con il sistema di gestione della qualità ISO
9001 e, grazie al sistema, è possibile ridurre al minimo i rischi di distruzione o perdita, anche
accidentale, dei dati stessi di accesso non autorizzato o di trattamento non consentito. Si intende così
proteggere l’organizzazione dalla commissione dei reati, presupposto per la responsabilità
amministrativa quali delitti informatici e trattamento illecito di dati ai sensi dell’articolo 24 bis del D.Lgs.
231/2001.
Benché sia stata abolita la redazione del DPS, sono ancora in vigore molteplici obblighi e sanzioni di
seguito riportate.

1.1. Riepilogo dei principali obblighi 2018

 L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi
 L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle
credenziali di autenticazione (allegato B dal punto 1 al punto 11)
 L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto
14)
 L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili,
amministratori di sistema etc. artt. 29 e 30 del codice e punto 15 dell'allegato B)
 L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non
consentiti, programmi maligni e conseguente istruzione del personale (allegato B punti 16 e 17)
 L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
 L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su
supporti rimovibili (allegato B dal punto 21 al 23)
 L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo
(allegato B punto 27)
 L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
 L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B
punto 29).

1.2. Quadro delle sanzioni per l’anno 2018

 Art. 161: Omessa o inidonea informativa all’interessato - Da 6.000 a 36.000 euro
 Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento - Da 10.000 a 60.000
euro
 Art. 162 c.2-ter: Inosservanza delle prescrizioni del Garante - Da 30.000 a 180.000 euro
 Art. 163: Omessa o incompleta notificazione - Da 20.000 a 120.000 euro
 Art. 164: Omessa informazione o esibizione al Garante - Da 10.000 a 60.000 euro
 Art. 167 c.1: Trattamento di dati personali senza consenso - Reclusione da 6 a 18 mesi
 Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati - Reclusione da 6 a 24 mesi
 Art. 167 c.2: Obbligo di separazione dei dati sensibili - Reclusione da 24 a 36 mesi
 Art. 169: Omissione delle Misure Minime di sicurezza - Arresto fino a due anni

2. MODALITA’ ATTUATIVE

2.1. Fase preliminare

Una o più sessioni per la raccolta di tutti i dati necessari ed una analisi, insieme ad uno o più Vostri
incaricati, dei profili legislativi, dei soggetti coinvolti, delle banche dati, dei rischi connessi e del
sistema informatico. Il disegno di dettaglio dei flussi di dati personali, cartacei/informatici, in essere
all’interno della struttura, da/verso la Vs società, i soggetti coinvolti nell’attività, l’analisi specifica dei
rischi e delle problematiche che emergeranno in fase di Audit.

2.2. Realizzazione del progetto

Prevede l’elaborazione di tutta la documentazione necessaria e del Registro dei Trattamenti
aziendale, fornendo alla società un adeguamento di base alla normativa Privacy vigente italiana.
Tale adeguamento terrà conto già di quanto giuridicamente chiaro ad oggi, rispetto al Nuovo
Regolamento Europeo sulla protezione dei dati personali (GDPR 2016/679), relativamente agli
ISO Engineering Srl
Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 5 di 7

adempimenti Privacy ma non ancora effettivamente obbligatori nella loro osservanza e non in diretto
contrasto con la normativa nazionale vigente. Quest’ultima, nei prossimi mesi ed in vista del 25
maggio 2018, vedrà diversi interventi legislativi e/o di Provvedimento che punteranno ad una
necessaria armonizzazione della stessa con la nuova normativa europea. Proprio tale attività di
armonizzazione richiederà una successiva rielaborazione e taratura del Sistema Privacy che si andrà a
realizzare fin da subito.
L’intervento proposto ci consentirà d’armonizzare il Sistema di Gestione Privacy (SGP) “un po’ per
volta” e senza particolari traumi per le strutture coinvolte evitando rincorse normative che ci
esporrebbero inutilmente a concreti rischi sanzionatori.
Il progetto prevede la realizzazione e l’avvio di un Sistema di Gestione Privacy Aziendale (SGP). Tale
sistema prevede l’adozione di un sistema documentale di rendicontazione ed un insieme di
procedure a presidio delle attività di trattamento svolte in azienda.
L’adeguamento documentale e operativo (“Registro dei Trattamenti del Titolare”) della struttura si
realizza mediante lo svolgimento delle seguenti attività:
 Verifica della liceità dei trattamenti
 Adozione di Codici di Condotta Privacy
 Classificazione dei Dati Personali rispetto alle tipologie di trattamento adottate
 Classificazione dei Trattamenti
 Valutazione del rispetto dei Principi Privacy introdotti al EU/2016/679
 Stesura delle necessarie informative, consensi e clausole contrattuali privacy, coerenti per
tipologia, settore e contesto
 Corretta gestione dei dati da parte degli incaricati
 Individuazione e nomina dei Responsabili Esterni e degli Amministratori di Sistema
 Verifica e l’integrazione della necessaria documentazione relativa alle aree di consulenza, di
formazione e studio, d’interscambio, di network, di ricerca, di promozione, delle risorse umane
e dei servizi all’utenza
 Introduzione di specifiche istruzioni agli incaricati del trattamento
 Verifica delle misure minime e idonee/adeguate tecnico-informatiche in essere: si farà una
necessaria valutazione tecnica di dettaglio, una valutazione rischi ed eventualmente
pianificate delle successive azioni di miglioramento dello stato delle misure ex art. 33 e
seguenti D.Lgs 196/03 (“Misure Minime”) e art. 32 GDPR 2016/679 (“Misure idonee/adeguate”)
 Necessaria integrazione del sito web, consensi e clausole necessarie alla sua “messa a norma”
 Predisposizione della necessaria documentazione relativa alle aree di gestione dei dati personali
di terzi
Dal punto di vista tecnologico dovranno essere previste e monitorate le seguenti
attività/adempimenti:
 Gestione profili autorizzativi e relativa Procedura;
 Definizione delle misure di sicurezza
 Pianificazione delle eventuali azioni di remediation del Sistema di Sicurezza interno (antivirus,
patch management, etc.) e perimetrale (Firewall, VPN, etc.);
 Eventuale stesura ed implementazione di una procedura di “Disaster Recovery” con particolare
riferimento alle aree “sensibili”;
 Sistema di raccolta dati di log essenziali e di gestione delle analisi e degli eventuali alert sui
medesimi (gestione almeno dei Log ai fini degli adempimenti previsti per gli amministratori di
sistema);
 Pianificazione delle azioni e dei test di verifica almeno annuali delle misure tecniche di sicurezza
dimostranti l’efficacia dei sistemi in essere, come previsto dall’art. 32 let. d) GDPR 2016/679).
La Vs società potrebbe essere nominata, per i propri servizi, quale “Responsabile Esterno” da parte di
Soggetti Terzi In tal caso potrebbe essere soggetto a verifica almeno annuale da parte dell’effettivo
Titolare dei dati personali trattati e, spessissimo, soggetto anche a ispezioni (ex comma 5 art. 29 D.Lgs
196/03). Tale situazione, se verificata, richiede l’adozione oltre alle misure di cui al Registro dei
Trattamenti anche di misure organizzative tali che possano dimostrare l’effettiva presenza di un SGP
funzionante ed il presidio e controllo dello stesso, oltre che di uno specifico “Registro dei trattamenti
del Responsabile”.
Completamento necessario è l’erogazione della necessaria informazione/formazione ai singoli
operatori in modo da renderli edotti sia delle basi della normativa (con particolare riferimento al
Nuovo Regolamento Europeo), che del suo funzionamento che delle implicanze di responsabilità
amministrativa e penale derivante dal trattamento dei dati.
La formazione dei responsabili è più approfondita, consentendo di calare le figure professionali nella
propria specifica realtà organizzativa e tecnologica. Spesso i responsabili infatti supervisionano e

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 6 di 7

coordinano (anche nella definizione degli ambiti di operatività) gli incaricati, quindi è da prevedere
un ciclo formativo specifico, con questionario di valutazione al termine del corso. Per i corsi base agli
incaricati, è previsto il rilascio di un certificato di proficua frequenza che attesti l’avvenuta formazione.
Naturalmente la formazione verrà profilata per area e tratterà anche delle specifiche procedure
privacy definite nel Manuale Procedurale Privacy, nel frattempo redatto ed adottato.
Le modalità di effettuazione dei corsi vengono valutate concordemente con gli obiettivi del cliente,
possono includere affiancamento “on the job” e sessioni in aula con documentazione da acquisire
nel corso delle lezioni e proiezione di slide riepilogative.
Tutti i corsi comprendono una panoramica della normativa, le basi di una corretta valutazione dei
processi privacy da parte degli incaricati o responsabili, la disamina delle misure di sicurezza e
protezione dei dati e l’indicazione delle best practice per operare in modo sicuro ed efficace nella
quotidianità lavorativa.

3. TEMPI DI REALIZZAZIONE
Il nostro consulente si rende disponibile fin da subito a prendere contatto con la Vs azienda al fine di
concordare una data di incontro.
Nel caso in cui la Vs azienda non dovesse rispettare i termini di pagamento, ISO Engineering si riserva
di sospendere la consulenza fino a pagamento delle fatture arretrate.

4. PRESTAZIONI ESCLUSE

Sono escluse dalla presente offerta tutte prestazioni non esplicitamente descritte.
Le prestazioni al di fuori della presente offerta saranno oggetto di ulteriore contrattazione ed
accettazione.
L’offerta non comprende la consulenza qualora durante l’analisi risultino i seguenti trattamenti:
sensibili, sanitari, giudiziari, (ad esclusione di quelli dei dipendenti), marketing massivo, profilazione,
gestione dei dati all’estero per aziende multinazionali.
Eventuale nomina della figura di Data Protection Officer (DPO).
Eventuali necessità che si dovessero delineare a seguito di aggiornamenti legislativi.

5. CONDIZIONI E MODALITÀ DI PAGAMENTO

Importo riservato
DESCRIZIONE SERVIZIO NOTE

Attività di consulenza iniziale,

Attività di cui ai punto 2 predisposizione del SGP e di tutta la
Tempi di progetto previsti: 4 giornate documentazione necessaria nel
3300 €
complessive sia d’attività in loco che nuovo formato europeo.
in office. Fatturazione alla consegna dei
documenti.

5.1. Formazione del Personale

Formazione di base del Vostro Personale presso la Vostra Azienda in sessioni di 2 ore (da definirsi
l’articolazione e la programmazione).

FORMAZIONE
FORMAZIONE del Personale
(Attività di cui al punto 2.1.) Ciclo di Formazione di 2 ore.
compresa
Calendario, programma e nr. Sede: Vostra Azienda.
partecipanti da definirsi.

Tutti prezzi indicati si intendono IVA esclusa.

Non verranno addebitati costi di trasferta, vitto e alloggio.

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2958_PRIVACY_POLIAMBULATORIO ELYSIUM.doc Pagina 7 di 7

Modalità di fatturazione: mensile divisa in 3 mensilità a partire dalla data di sottoscrizione del
contratto.
Modalità di pagamento: a 30 gg fine mese a mezzo bonifico bancario

Eventuali variazioni verranno valutate in accordo con il responsabile commerciale.

6. VALIDITÀ DELL’OFFERTA

La ns. offerta è valida per Vs. gradito ordine entro 30 giorni dalla data di presentazione della stessa.
Siamo comunque a Vs. disposizione per illustrarVi eventuali parti non chiare.

7. PRIVACY
L’Informativa ai sensi e per gli effetti del GDPR UE 2016/679 relativi alla tutela del trattamento dei
dati personali è scaricabile dal sito www.isoengineering.it. Il relativo consenso al trattamento viene
richiesto nella fase di raccolta dati necessaria al perfezionamento del rapporto contrattuale

8. FORMALIZZAZIONE
La consegna della presente offerta firmata “per accettazione” costituirà il contratto.

Offerta n 2958 rev 0 Timbro e Firma

Per Conto di ISO Engineering S.r.l.
L’Amministratore
Ing. Occari Nicola

Per Conto di POLIAMBULATORIO ELYSIUM Timbro e Firma

Legale Rappresentante ________________

Data____________________

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it