Progettazione ed erogazione di servizi di consulenza per l’implementazione di

Sistemi di Gestione per la Qualità, Ambiente e Sicurezza

e predisposizione documentazione su Responsabilità da prodotto e
Norme Tecniche. Progettazione ed erogazione di servizi di
UNI EN ISO 9001 alta formazione, formazione superiore e manageriale.

Spett.le POLIAMBULATORIO ELYSIUM

Via San Gregorio Barbarigo 9
35020 Albignasego (PD)

Preganziol, 17/05/2018

Oggetto: OFFERTA ECONOMICA E CONTRATTUALE PER ASSUZIONE

INCARICO DPO/RPD (Data Protection Officer o
Responsabile della Protezione dei Dati)
RELATIVA ALL’ADEGUAMENTO AZIENDALE IN MERITO AGLI
ADEMPIMENTI GDPR 2016/679 “NUOVO REGOLAMENTO PRIVACY”

In allegato alla presente inviamo l’offerta n° 2959 rev. 0.

Distinti saluti

ISO Engineering S.r.l.

Ing. Occari Nicola

ISO Engineering S.r.l.

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
Capitale Sociale int. vers. € 12.000,00 - C.F. e P. IVA – Registro Imprese di Treviso 03060260266
2959_PRIVACY_DPO_POLIAMBULATORIO ELYSIUM.doc Pagina 2 di 6

OFFERTA 2959 rev 0

Cliente POLIAMBULATORIO ELYSIUM
Via San Gregorio Barbarigo 9
35020 Albignasego (PD)
Referente Dott. Edoardo Albertin
amministrazione@poliambulatorioelysium.it

Indice degli Argomenti

1. SCOPO e DESCRIZIONE DELLE PRESTAZIONI ........................................................................................... 3
2. MODALITA’ ATTUATIVE ................................................................................................................................ 3
2.1. I compiti del DPO........................................................................................................................................ 3
2.2. Responsabilità del DPO ............................................................................................................................. 3
2.3. Requisiti garantiti dal DPO proposto ....................................................................................................... 4
2.4. Mantenimento Annuale (dal 2019) post messa a norma ................................................................... 4
3. TEMPI DI REALIZZAZIONE ............................................................................................................................. 5
4. PRESTAZIONI ESCLUSE ................................................................................................................................. 5
5. CONDIZIONI E MODALITÀ DI PAGAMENTO ............................................................................................ 5
6. VALIDITÀ DELL’OFFERTA.............................................................................................................................. 6
7. PRIVACY ........................................................................................................................................................ 6
8. FORMALIZZAZIONE ...................................................................................................................................... 6

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2959_PRIVACY_DPO_POLIAMBULATORIO ELYSIUM.doc Pagina 3 di 6

1. SCOPO e DESCRIZIONE DELLE PRESTAZIONI

Per rendere la protezione dei dati ancora più sicura ed effettiva il Regolamento (UE) 2016/679 ha
previsto la figura del Data Protection Officer (DPO) ovvero il responsabile della sicurezza dei dati
Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di
protezione dati.
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
1. quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad
eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli
interessati su larga scala;
3. quando il trattamento riguarda, su larga scala, categoria di dati sensibili particolari (art 9 GDPR)
o relativi dati personali a condanne penali e reati

2. MODALITA’ ATTUATIVE

2.1. I compiti del DPO

I compiti del DPO sono indicati dalla legge (art. 39 GDPR) e riportati di seguito:

1. sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della
natura, dell’ambito di applicazione, del contesto e delle finalità;
2. collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di
impatto sulla protezione dei dati (DPIA);
3. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di
questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia
di protezione dei dati;
4. cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione
connessa al trattamento;
5. supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali,
anche con riguardo alla tenuta di un registro delle attività di trattamento;
6. supportare il titolare o il responsabile nella manutenzione del Sistema di gestione Privacy
aziendale;
7. condurre audit di verifica sul sistema di gestione privacy aziendale;
Inoltre, nelle proprie funzioni, il DPO deve:

8. Rappresentare le Aziende davanti all’Autorità di Controllo;

9. Collaborare a realizzare e quindi sorvegliare l'attuazione e l'applicazione delle politiche
aziendali in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità,
la formazione del personale che partecipa ai trattamenti e gli audit connessi;
10. Acquisire e mantenere la compliance aziendale alla Privacy, con particolare riguardo ai requisiti
concernenti la protezione e la sicurezza dei dati, l'informazione dell'interessato e le richieste
degli interessati di esercitare i diritti riconosciuti ai sensi dell’Art.7 del DL 196/2003;
11. Controllare che sia dato seguito alle richieste dell'autorità Garante e, nell'ambito delle sue
competenze, cooperare con l'autorità di controllo di propria iniziativa o su sua richiesta;
12. Fungere da punto di contatto per l'autorità Garante per questioni connesse al trattamento e, se
del caso, consultare l'autorità di controllo di propria iniziativa .

2.2. Responsabilità del DPO

Il Titolare del Trattamento o il Responsabile del Trattamento mantengono la piena responsabilità

dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di
dimostrare tale osservanza (Art. 5, § 2 GDPR). Se il titolare del trattamento o il responsabile del
trattamento assumono decisioni incompatibili con il GDPR e le indicazioni fornite dal DPO,
quest’ultimo deve avere la possibilità di manifestare il proprio dissenso al più alto livello del
management e ai decisori. Al riguardo, l’articolo 38, paragrafo 3, prevede che il DPO “riferisce
direttamente al vertice gerarchico del titolare del trattamento o del responsabile del
trattamento”. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il
consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite
ISO Engineering Srl
Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2959_PRIVACY_DPO_POLIAMBULATORIO ELYSIUM.doc Pagina 4 di 6

dal DPO nel quadro delle sue funzioni di informazione e consulenza a favore del titolare del
trattamento o del responsabile del trattamento. Un altro esempio di tale rapporto diretto consiste
nella redazione di una relazione annuale delle attività svolte dal DPO da sottoporre al vertice
gerarchico (Fonte: WP 243, pag. 20).
In sintesi, un rapporto di “gestione” della Privacy, che prevede la redazione di relazioni scritte
almeno semestrali alla Direzione sull’avanzamento dei progetti e la segnalazione immediata di
qualsiasi anomalia organizzativa o tecnologica rilevata nel corso dei lavori di audit e messa a
norma delle filiere di trattamento dei dati personali.
Resta inteso che il percorso comporterà l’affiancamento almeno di una Vostra Risorsa interna, per
l’opportuna e necessaria formazione specifica, in modo che possa poi co-gestire il Sistema Privacy
della Vs Organizzazione.

2.3. Requisiti garantiti dal DPO proposto

Conoscenze di base:
 Conoscenza del settore in cui opera la Vs Organizzazione;
 Utilizzo di strumenti informatici (PC, posta elettronica, Pacchetto Office);
 Conoscenza di procedure avanzate di sicurezza IT tecnico-organizzativa.
Competenze Tecniche:
 Attività di auditing;
 Gestione del Registro delle attività di trattamento;
 Gestione dei rapporti con l’Autorità Garante per la protezione dei dati personali;
 Redazione di pareri in favore dell’Alta Direzione;
 Conduzione dell’attività di Data Protection Impact Assessment.
 Gestione dei piani di sicurezza in collaborazione con l’Amministratore di Sistema
Conoscenze specifiche di ruolo:
 Conoscenza dell’organizzazione;
 Conoscenza del core business del gruppo e delle singole società;
 Conoscenza delle procedure, dei processi e del modo di operare delle singole società;
 Conoscenza del contesto in cui operano le aziende;
 Conoscenza delle principali normative e provvedimenti, relativi alla tematica Privacy, che
vengono applicati in ambito Pubblico;
 Conoscenza del D.Lgs n. 196/2003 (Codice Privacy) e del Regolamento UE 2016/679
(GDPR);
 Conoscenza dei principali provvedimenti emanati dall’Autorità Garante per la protezione
dei dati personali in tema di videosorveglianza e geolocalizzazione;
 Conoscenza delle principali tecniche di sicurezza dei trattamenti;
 Conoscenza dell’infrastruttura IT;
 Esperienza almeno decennale di Consulenza Privacy presso soggetti Privati;
 Esperienza almeno quinquennale di Consulenza Privacy presso soggetti Pubblici;
 Consulenza Privacy pregressa almeno biennale presso le Vostre Strutture aziendali.
Conoscenze trasversali:
 Capacità di “ascolto” per definire il corretto impatto privacy;
 Capacità relazionali per interfacciarsi con le diverse figure aziendali;
 Capacità di problem solving.
 Visione d’insieme.

2.4. Mantenimento Annuale (dal 2019) post messa a norma

 Nell’esecuzione dell’attività del DPO è previsto nello svolgimento delle attività

 1 Audit Privacy di Sistema annuale, secondo specifiche ISO 19011
 aggiornamento e revisione annuale obbligatoria della documentazione
 verifica delle misure fisiche: riguardanti la protezione delle infrastrutture o dell’ambiente
operativo e delle persone (protezione delle risorse)
 verifica delle misure logiche: protezione delle componenti applicative (antivirus, firewall,
backup, disaster recovery…) e limitazioni nell’utilizzo di dati, procedure e informazioni
 verifica delle misure di tipo organizzativo: operazioni nella gestione dei dati da parte del
personale incaricato (dipendenti, collaboratori, consulenti, fornitori…) atte a ridurre i rischi

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
 2959_PRIVACY_DPO_POLIAMBULATORIO ELYSIUM.doc Pagina 5 di 6

 verifica delle misure di prevenzione: identificazione dei “key-data” da proteggere e

mappare i processi e le figure operative che possono accedere a tali dati
 Pacchetto di 4 ore annuali di Consulenza Privacy diversa, telefonica e/o via eMail
(annuale e fruibile tassativamente nell’arco dell’anno di validità).

3. TEMPI DI REALIZZAZIONE

La presente proposta di consulenza, prevede un incarico formale esterno relativamente alla figura
di Data Privacy Officer (DPO). L’assunzione in ruolo ed i contenuti della consulenza erogata, da
effettuarsi nel periodo dal momento dell’accettazione e fino a dicembre 2019 (primo incarico e,
successivamente, a rinnovo tacito biennale salvo disdetta entro 90 gg dalla scadenza del
rapporto.
Nel caso in cui la Vs azienda non dovesse rispettare i termini di pagamento, ISO Engineering si
riserva di sospendere la consulenza fino a pagamento delle fatture arretrate.

4. PRESTAZIONI ESCLUSE

Sono escluse dalla presente offerta tutte prestazioni non esplicitamente descritte.
Le prestazioni al di fuori della presente offerta saranno oggetto di ulteriore contrattazione ed
accettazione.
L’offerta non comprende la consulenza qualora durante l’analisi risultino i seguenti trattamenti:
sensibili, sanitari, giudiziari ad eccezione di quelli dei dipendenti; di marketing massivo, profilazione,
gestione dei dati all’estero per aziende multinazionali.
Le eventuali Notifiche al Garante, pareri legali, contrattuali e assistenza in causa/verifica ispettiva e
quant’altro non specificatamente previsto nella presente offerta sono da valutare a parte, caso per
caso, e sono da intendersi escluse dal presente preventivo.
Eventuali necessità che si dovessero delineare a seguito di aggiornamenti legislativi.

5. CONDIZIONI E MODALITÀ DI PAGAMENTO

Importo riservato
DESCRIZIONE SERVIZIO NOTE

Assunzione ruolo DPO, come

Assunzione del ruolo e delle
responsabilità connesse come DPO
(incarico annuale, a rinnovo tacito
salvo disdetta entro il 31/10 di ogni
anno)
descritto nel presente
documento e delle attività di
Mantenimento post messa a
200 € al mese Norma come da punto 2.4
L’importo tiene conto, oltre che
delle attività di gestione legate al
ruolo del DPO, della rischiosità
legale intrinseca dei dati trattati.

Tutti prezzi indicati si intendono IVA esclusa.

Non verranno addebitati costi di trasferta, vitto e alloggio.
Modalità di fatturazione: quadrimestrale a partire dalla data di sottoscrizione del contratto.
Modalità di pagamento: a 30 gg fine mese a mezzo bonifico bancario

Eventuali variazioni verranno valutate in accordo con il responsabile commerciale.

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it
2959_PRIVACY_DPO_POLIAMBULATORIO ELYSIUM.doc Pagina 6 di 6

6. VALIDITÀ DELL’OFFERTA

La ns. offerta è valida per Vs. gradito ordine entro 30 giorni dalla data di presentazione della stessa.
Siamo comunque a Vs. disposizione per illustrarVi eventuali parti non chiare.

7. PRIVACY

L’Informativa ai sensi e per gli effetti del GDPR UE 2016/679 relativi alla tutela del trattamento dei
dati personali è scaricabile dal sito www.isoengineering.it. Il relativo consenso al trattamento viene
richiesto nella fase di raccolta dati necessaria al perfezionamento del rapporto contrattuale.

8. FORMALIZZAZIONE
La consegna della presente offerta firmata “per accettazione” costituirà il contratto.

Offerta n 2959 rev 0 Timbro e Firma

Per Conto di ISO Engineering S.r.l.
L’Amministratore
Ing. Occari Nicola

Per Conto di POLIAMBULATORIO ELYSIUM Timbro e Firma

Legale Rappresentate ________________

Data____________________

ISO Engineering Srl

Via Terraglio, 73 – 31022 Preganziol (TV) – Italia Tel (+39) 0422.431940 – Fax (+39) 0422.380920
e-mail : info@isoengineering.it – web : www.isoengineering.it