Capitolato Cloud 26.6.2012. _ V.9__pubblicato sito
annuncio pubblicitario
Regione del Veneto - AZIENDA U.L.SS. N. 8 ASOLO dipartimento risorse economiche e organizzative unità operativa provveditorato/economato – responsabile: dott. Alberto Cendron Capitolato Speciale per l’affidamento del servizio di conservazione sostitutiva in Cloud Computing dei dati clinici ed amministrativi per l’Azienda ULSS n. 8 di Asolo. INDICE GENERALE TITOLO I. NORME GENERALI. CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO. Art. 1 – Oggetto del servizio. Art. 2 – Aspetti generali ed obiettivi principali del servizio secondo il paradigma del Public Cloud Computing. Art. 3 – Requisiti normativi. Art. 4 – Durata del servizio. Art. 5 – Infrastruttura del servizio e geolocalizzazione del dato. Art. 6 – Costo del servizio e volumi documentali. TITOLO II. LIVELLI DI SERVIZIO. (CLOUD SERVICE LEVEL AGREEMENT) CAPO I. REQUISITI. Art. 7 – Requisiti organizzativi. Art. 8 – Requisiti tecnologici. CAPO II. ARCHITETTURA TECNOLOGICA. Art. 9 – Avvio del servizio e collaudo. Art. 10 – Data center. Art. 11 – Piano di migrazione dei dati verso il Cloud Computing. Art. 12 – Interoperabilità dei dati in Cloud Computing. Art. 13 – Portabilità dei dati in Cloud Computing. CAPO III. FLUSSO DI CONSERVAZIONE. Art. 14 – Macro-fasi del servizio in Cloud. Art. 15 – Acquisizione dei documenti. Art. 16 – Verifica di validità dei documenti. Art. 17 – Apposizione della marcatura temporale. Art. 18 – Invio in conservazione. Art. 19 – Restituzione della marca temporale. CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY. Art. 20 – Continuità Operativa (CO) del servizio. Art. 21 – Disaster Recovery (DR). 2 Art. 22 – Manutenzione della soluzione di Continuità Operativa e Disaster Recovery. Art. 23 – Test periodici della soluzione. Art. 24 – Servizio di assistenza operativa. Art. 25 – Disaster Recovery del RIS/PACS aziendale. CAPO V. ALTRE SPECIFICHE. Art. 26 – Funzione di esibizione. Art. 27 – Confidenza del Cloud Provider dei processi clinico-sanitari dell’organizzazione ospedaliera. Art. 28 – Attività di consulenza. Art. 29 – Formazione ed addestramento. Art. 30 – Privacy Level Agreement (PLA). Art. 31 – Servizi aggiuntivi e migliorativi. CAPO VI. VERIFICHE. Art. 32 – Audit dei processi. Art. 33 – Tracciabilità. Art. 34 – Presidio e monitoraggio. Art. 35 – Sicurezza. Art. 36 – Servizio di help desk. CAPO VII. MANUTENZIONE. Art. 37 – Manutenzione correttiva. Art. 38 – Manutenzione adeguativa. Art. 39 – Manutenzione evolutiva. CAPO VIII. PENALI. Art. 40 – Penalità. Art. 41 – Applicazione delle penali. TITOLO III. RESPONSABILITÀ. CAPO I. RESPONSABILITÀ CONTRATTUALE. Art. 42 – Individuazione delle responsabilità. Art. 43 – Incarico di Responsabile della conservazione e Responsabile di progetto del Cloud provider. Art. 44 – Brevetti e diritto d’autore. Art. 45 – Proprietà del software applicativo. 3 TITOLO IV. SPECIFICHE CONTRATTUALI. CAPO I. DISCIPLINA CONTRATTUALE. Art. 46 – Stipula e termine del contratto Art. 47 – Deposito cauzionale definitivo. Art. 48 – Cessione del contratto e subappalto. Art. 49 – Fatturazione e pagamenti. Art. 50 – Tracciabilità dei flussi finanziari. Art. 51 – Adesione di altre Aziende sanitarie della Regione Veneto. Art. 52 – Coperture assicurative. Art. 53 – Revisione dei prezzi. CAPO II. SCIOGLIMENTO DEL RAPPORTO CONTRATTUALE. Art. 54 – Recesso unilaterale. Art. 55 – Risoluzione del contratto. TITOLO V. LEGISLAZIONE SUL LAVORO E RISERVATEZZA DEI DATI. CAPO I. PERSONALE DIPENDENTE. Art. 56 – Disposizioni generali. - contratto di lavoro. obblighi assicurativi. altri obblighi. CAPO II. RISERVATEZZA. Art. 57 – Trattamento e riservatezza dei dati in ambito Cloud. - riservatezza dei dati e subappalto. TITOLO VI. DISPOSIZIONI FINALI. CAPO I. ALTRI ADEMPIMENTI. Art. 58 – Documentazione da produrre. Art. 59 – Comunicazioni. Art. 60 – Foro competente. Art. 61 – Norme di rinvio. 4 TITOLO I. NORME GENERALI CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO. Art. 1 – Oggetto del servizio. L’Azienda ULSS n. 8 della Regione Veneto, in prosieguo denominata anche “Azienda Sanitaria”, si propone con la seguente procedura di acquisire un servizio di conservazione sostitutiva, secondo il paradigma del Public Cloud Computing, dei dati amministrativi e sanitari contenuti - a titolo esemplificativo e non esaustivo – nel dossier e nel fascicolo sanitario, nelle cartelle cliniche e di referti ed immagini del RIS-PACS aziendale. I quantitativi oggetto del presente appalto, che si intendono indicativi e pertanto legati all’effettiva necessità dell’Azienda Sanitaria, sono espressi in dettaglio al successivo art. 6 “Costo del servizio e volumi documentali” e potranno variare nei limiti e secondo quanto previsto dalla vigente normativa. Per la partecipazione alla gara sarà obbligatorio effettuare pena l’esclusione, da parte della Ditta offerente, in prosieguo denominata anche “Fornitore”, un sopralluogo presso la struttura informatica (U.O Informatica) dell’Azienda Sanitaria, finalizzato ad acquisire le conoscenze in merito alla situazione esistente e le esigenze future relative alle procedure operative ed amministrative di gestione ed ai protocolli informatici utilizzati nell’Azienda Sanitaria. Di tale sopralluogo sarà redatta apposita attestazione. La richiesta di presa visione e sopralluogo presso l’Azienda Sanitaria dovrà essere formulata da un legale rappresentante e dovrà pervenire, pena la mancata accettazione della medesima, entro 35 giorni dalla data ultima di scadenza per la presentazione delle offerte, mediante fax a: Azienda U.L.S.S. n. 8 Asolo – U.O. Provveditorato-Economato Alla c.a. del dott. Mauro Pellizzari e-mail: [email protected] n. fax. 0423/526151 - n. tel. 0423/526159 indicando il nominativo ed i dati anagrafici della/e persona/e incaricata/e di effettuare la presa visione ed il sopralluogo, tel., fax ed indirizzo e-mail c/o cui effettuare ogni comunicazione in tal senso e/o comunque per gli accordi del caso. Si precisa che al sopralluogo saranno ammessi: • il legale rappresentante dell'impresa; oppure, in alternativa, • un incaricato della stessa, munito a tal fine di specifica delega. L’importo a base d’asta, in lotto unico, per la fornitura del servizio è pari ad euro 450.000,00 (I.V.A. esclusa), per il periodo contrattuale di anni 3 (tre), soggetto a ribasso d’asta. Tale somma è da intendersi quale tetto massimo di spesa, oltre il quale l’Azienda Sanitaria non aggiudicherà la fornitura. Si precisa che non sussistono rischi di interferenza ai fini della normativa e di conseguenza non sono previsti costi relativi alla sicurezza relativi al DUVRI. Le attività oggetto del presente appalto potranno essere ridotte in conseguenza di manovre di contenimento della spesa sanitaria operate dallo Stato o dalla Regione Veneto o da altro Ente pubblico preposto. Nel caso sia necessaria l’integrazione parziale del servizio in oggetto o l’ampliamento dello 5 stesso, è consentito ricorrere alla Ditta appaltatrice per forniture complementari, ai sensi dell’articolo 57, comma 5, del D.Lgs. 163/2006. Art. 2 – Aspetti generali ed obiettivi pricipali del servizio secondo il paradigma del Public Cloud Computing. Il servizio dovrà essere svolto tenendo conto dei vari aspetti generali, economici, tecnologici e giuridici che il paradigma del Public Cloud Computing presenta, per una sua applicazione clinica e sanitaria, secondo le indicazioni della “Carta di Castelfranco” sul Cloud Computing in sanità: (http://www.ulssasolo.ven.it/content/download/23098/146340/version/1/file/carta+castelfranco+a5+uk%2Bita.pdf) La Ditta fornitrice si occuperà di applicazioni su processi clinici mediante la conoscenza, la gestione ed il controllo dei processi diagnostico-terapeutici, la comprensione delle implicazioni organizzative di un ambiente clinico, misurando necessariamente, al fine di una ottimizzazione del servizio, il contenuto standard di quest’ultimo rispetto ad ospedali clienti ubicati in una regione locale o mondiale. Le Ditte pertanto terranno conto della necessità di: - - operare con una rete a banda larga ridondata, per la connessione tra strutture ospedaliere, medici, cittadini e provider; garantire l’interoperabilità con i sistemi ospedalieri intra-cloud, inter-cloud e sistemi cloud con no-cloud, assicurando la portabilità dei dati nei casi di passaggio ad altro fornitore; garantire la continuità operativa permanente della soluzione in Cloud; specificare la policy di gestione per l’attività di salvataggio/backup dei dati clinici in cloud; monitorare l’esclusione di ingerenze esterne nei dati clinici in cloud, consentendo sempre l’accesso ai sistemi da parte delle autorità preposte; operare con un’architettura di software e hardware capace di prevenire: lo smarrimento, la perdita, la sottrazione dei dati clinici nonché la sospensione della continuità operativa e la crisi di interoperabilità; conoscere ed avere una buona confidenza con i processi clinici e l’organizzazione ospedaliera; supportare la struttura ICT ospedaliera nell’evoluzione verso competenze di service management; garantire la protezione, la gestione e la sicurezza dei dati clinici; La Ditta fornitrice, mediante la combinazione tra e-health, quale complesso delle risorse, soluzioni e tecnologie informatiche di rete applicate alla salute ed alla sanità, e tecnologie in Cloud Computing, permetterà all’Azienda Sanitaria principalmente di: - - avere un time-to-market più rapido per la garanzia di innovazione; acquisire una scalabilità dinamica delle risorse impiegabili, in base alle mutevoli scelte di lavoro; garantire al personale individuato dall’Azienda Sanitaria di accedere in remoto alle architetture di risorse hardware e software per la centralizzazione dell’archivio documentale sia clinico-sanitario che amministrativo; garantire l’economicità della gestione aziendale, dato che l’Azienda Sanitaria non dovrà più farsi carico, nell’ambito del servizio de quo, dell’acquisto, della manutenzione e della gestione dei macchinari e software configurati ed aggiornati secondo le mutevoli disposizioni di legge superando, non solo le problematiche legate all’aggiornamento dei sistemi, ma anche quelle legate all’aggiornamento formativo del personale interno all’Azienda Sanitaria, la cui attività si focalizzerà pertanto sulla gestione del servizio e del 6 - progetto con notevoli risparmi di tempo; semplificare il workflow documentale clinico – amministrativo; garantire un alto grado di controllo su dati, applicazioni e sistemi informativi nell’ambito della privacy e della security; garantire la centralizzazione dell’archivio sanitario con un’unica metodologia di accesso alle informazioni on-line; rispondere rapidamente ai fabbisogni improvvisi, non soddisfabili internamente all’Azienda Sanitaria. Art. 3 – Requisiti normativi. Oltre alle norme generali dello Stato italiano, da considerare comunque come punti di riferimento indispensabili per il progetto realizzato, ve ne sono alcune specifiche dell'ambito sanitario, della gestione documentale digitale, della conservazione dei documenti nel tempo, della sicurezza dei sistemi e della riservatezza dei dati personali durante il loro trattamento, che di seguito si vanno a riportare in maniera esemplificativa e non esaustiva. La loro conoscenza appare essenziale per meglio comprendere gli aspetti organizzativi, tecnologici e medico-giuridici compresenti nel servizio richiesto: - Circolare Ministero della Sanità 19 dicembre 1986, n. 61 Circolare avente per oggetto il periodo di conservazione della documentazione sanitaria presso le istituzioni sanitarie pubbliche e private di ricovero e cura - D.lgs 17 marzo 1995, n. 230 Attuazione nazionale delle Direttive Euratom nn. 80/836, 84/467, 84/466, 89/618, 90/641 e 92/3, in materia di radiazioni ionizzanti - DM 14.2.1997 Norma di attuazione del D.lgs n.230/95, "Determinazione delle modalità affinché i documenti radiologici e di medicina nucleare e i resoconti esistenti siano resi tempestivamente disponibili per successive esigenze mediche, ai sensi dell'art. 111, comma 10, del decreto legislativo 17 marzo 1995, n. 230" - D.lgs 26 maggio 2000, n. 187 Attuazione della direttiva 97/43/Euratom in materia di protezione sanitaria delle persone contro i pericoli delle radiazioni ionizzanti connesse ad esposizioni mediche - Prontuario di selezione per gli archivi delle aziende sanitarie locali e delle aziende ospedaliere, 2005 Atto di indirizzo che reca indicazioni sui tempi di conservazione dei documenti generati e/o custoditi da Aziende Sanitarie pubbliche ed accreditate, redatto dal Ministero per i Beni e la Attività Culturali - L. 15 marzo 1997, n. 59 Art.15, co.2: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge" - D.lgs 7 marzo 2005, n.82 Codice dell'amministrazione digitale e s.m.i 7 - D.lgs 4 aprile 2006, n. 159 Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale - Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures - DPR 28 dicembre 2000, n. 445 T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (TestoA), per le parti rimaste in vigore dopo le abrogazioni operate dal D.lgs n.82/05 - DPCM 13 gennaio 2004 ( abrogato ) e sostituito dal DPCM 30 Marzo 2009 ( entrato in vigore a fine Dicembre 2009 ) Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici - D.Lgs 30 dicembre 2010, n. 235 Modifiche ed integrazioni al decreto legislativo 7.3.2005, n. 82, recante Codice dell’amministrazione digitale, a norma dell’art. 33 della legge 18.6.2009, n. 69. GU 10.1.2011 - Deliberazione CNIPA 19 febbraio 2004, n.11 Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - Art. 6, commi 1 e 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 - Deliberazione CNIPA 17 febbraio 2005, n. 4 Regole per il riconoscimento e la verifica del documento informatico - Decreto Ministero dell'Economia e delle Finanze 23 gennaio 2004 Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto – linee guida per la dematerializzazione della documentazione clinica in laboratorio ed in diagnostica per immagini. - D.lgs 30 giugno 2003, n. 196 e s.m.i Codice in materia di protezione dei dati personali - Allegato B del D.lgs n.196/03 Disciplinare tecnico in materia di misure minime di sicurezza - Deliberazione Garante per la protezione dei dati personali 23 dicembre 2004, n. 14 Contributo spese in caso di esercizio dei diritti dell'interessato - Newsletter Garante per la protezione dei dati personali 27 febbraio 2005, n. 246 Accesso alle banche di dati, esibizione e diritti dei cittadini - EU Code of conduct for data centres - Nuove linee guida del Garante per la Privacy sui servizi Cloud 8 - D. lgs 39/1993 Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche - D. lgs 163/2006 Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE - D. lgs 177/2009 Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a norma dell'articolo 24 della legge 18 giugno 2009, n. 69 - D.P.R 207/2010 Regolamento di esecuzione ed attuazione del decreto legislativo 12 aprile 2006, n. 163 - Allegato alla deliberazione del Comitato Direttivo di Digit PA n. 56 del 9 maggio 2012 Raccomandazioni e proposte sull’utilizzo del cloud computing nella pubblica amministrazione - Linee guida per il Disaster Recovery delle pubbliche amministrazioni ai sensi del comma 3, lett. b, dell’art. 50-bis del D.lgs n. 82/2005 e s.m.i (Digit PA) - Carta di Castelfranco “Raccomandazioni per gli utenti di sanità digitale in cloud computing” (http://www.ulssasolo.ven.it/content/download/23098/146340/version/1/file/carta+castelfranco+a5+uk%2Bita.pdf) La Ditta, nel presentare il proprio progetto, dovrà far riferimento a tali norme e a quant'altre ritengano necessarie, specificando in offerta tecnica, le caratteristiche del proprio sistema che vanno a realizzare la rispondenza alle norme del sistema stesso. Il servizio dovrà essere mantenuto costantemente aderente all'evolversi delle norme in materia di conservazione sostitutiva di documenti clinici e amministrativi per tutta la durata del contratto secondo il paradigma del Public Cloud Computing. Sarà dunque a completo carico del Fornitore qualsiasi aggiornamento, modifica, revisione del sistema e delle procedure tecniche ed organizzative che si dovessero rendere necessarie a fronte di variazioni normative. La Ditta aggiudicataria dovrà provvedere a tutti gli adeguamenti normativi ed a tutte le variazioni necessarie al mantenimento a norma del servizio e alla conformità alle regole tecniche di riferimento internazionali, nazionali e regionali senza oneri aggiuntivi a carico dell’Azienda Sanitaria per tutta la durata del presente appalto. Art. 4 – Durata del servizio. Il servizio dovrà essere fornito per anni 3 (tre). Qualora, prima della scadenza del contratto d’appalto, non sia stato possibile individuare il nuovo aggiudicatario con procedura ad evidenza pubblica, il contratto potrà essere prorogato per il tempo strettamente necessario per definire la nuova aggiudicazione, nel corso del quale la Ditta aggiudicataria avrà l'obbligo di continuare il servizio, alle condizioni convenute. I primi 6 mesi di gestione del servizio saranno considerati periodo di prova, al termine del quale l’Azienda Sanitaria potrà recedere dal contratto, con decisione motivata, qualora il servizio si riveli non corrispondente a quanto richiesto dal Capitolato Speciale. 9 Art. 5 – Infrastruttura del Servizio e geolocalizzazione del dato. Il nuovo servizio deve prevedere un'infrastruttura adeguata a garantire: - vertical scalability (incremento dei volumi); horizontal scalability (incremento dei servizi da interfacciare); continuità e fault tolerance; aggiornamento tecnologico; sicurezza fisica/logica; Il servizio consiste nella conservazione a norma di legge dei documenti informatici prodotti dall’Azienda Sanitaria, secondo quanto stabilito dalle norme vigenti ai sensi dell’art. 3 “Requisiti normativi”, del presente Capitolato Speciale. Il servizio sarà erogato secondo il paradigma del Public Cloud Computing e quindi il Fornitore dovrà mettere a disposizione tutti gli strumenti e tecnologie, necessari per garantire l'integrale rispetto della normativa e l'efficace ed efficiente interazione con i sistemi ed i servizi dell’ Azienda Sanitaria. Il Fornitore dovrà presentare la descrizione di tale architettura al fine di dimostrarne l'esistenza e la solidità. La Ditta aggiudicataria si impegna a conservare tutti i documenti ricevuti in conservazione con la diligenza richiesta dalle attività oggetto del presente capitolato. La Ditta si impegna a non trasferire i dati oggetto del presente Capitolato Speciale all’esterno dello Spazio Economico Europeo (SEE) e si impegna a garantire l’ubicazione e la presenza sul territorio italiano o nell’ambito dell’UE dell’infrastruttura utilizzata per l’erogazione dei servizi Cloud. Nel caso le infrastrutture siano collocate in un altro paese dell’UE, al contratto dovrà comunque essere applicata la legge italiana ed, in caso di controversia, l’autorità giudiziaria competente a conoscere della questione sarà quella italiana. Per altre modalità più estese di circolazione dei dati si richiama quanto previsto nel documento di Digit Pa : “Raccomandazioni e proposte sull’utilizzo del Cloud Computing nella pubblica amministrazione” del 9.5.2012; paragrafo intitolato “Ambito di circolazione dei dati” pag. 35. Art. 6 – Costo del servizio e volumi documentali. Il costo riportato in offerta economica è da considerarsi onnicomprensivo di qualsiasi onere. A titolo esemplificativo dovrà quindi tenere conto di eventuali costi di start-up del sistema, adeguamenti di legge che potranno intervenire durante il periodo di vigenza del contratto, audit ed esibizioni richieste dei documenti e quant'altro inerente il servizio oggetto dell'appalto. Il costo riportato in offerta economica implica l'applicazione del servizio per l'intero ciclo di vita del documento previsto dalle leggi vigenti e dai regolamenti dei singoli Enti, compatibilmente con la durata contrattuale. Il costo del servizio dovrà essere articolato secondo lo schema di seguito indicato e dovrà essere computato in relazione ai fabbisogni indicati: VOCE DESCRIZIONE A Documenti amministrativi e sanitari Costi fissi: Integrazione con sistema sorgente documentali (dipartimentali, repository, etc) UNITA' DI MISURA n. sorgenti QTA (Fabbisogno 36 mesi) 13 sorgenti 10 n. lotti da 500.000 documenti 12 lotti C Canone di manutenzione per integrazione con il sistema sorgente documenti (dipartimentali, repository, etc.) n. sorgenti x n. mensilità 13 sorgenti x 36 mensilità D Messa in conservazione dei documenti e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) n. lotti da 500.000 documenti 12 lotti E Immagini PACS Costi fissi: Integrazione sorgente PACS Messa in conservazione dello stock di immagini PACS pregresse B Messa in conservazione dello stock di documenti pregressi Costi variabili: n. sorgenti n. lotti da 1 TB non compressi 1 sorgente G Canone di manutenzione per l’ integrazione con sistema sorgente PACS n. sorgenti x n.mensilità 1 sorgente x 36 mensilità H Messa in conservazione delle immagini PACS e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) n. lotti da 1 TB non compressi 30 lotti una tantum 1 attivazione n. mensilità 36 mensilità F 15 lotti Costi variabili: I L Replica remota PACS Costi fissi: Attivazione del servizio Costi variabili: Canone per la gestione del servizio di disaster recovery PACS (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) TITOLO II. LIVELLI DI SERVIZIO (CLOUD SERVICE LEVEL AGREEMENT) CAPO I. REQUISITI. Art. 7 - Requisiti organizzativi. La Ditta dovrà specificare dettagliatamente, in un documento apposito, il sistema di deleghe, obblighi ed incarichi del servizio offerto, avendo cura di evidenziare ciò che resta in capo all’Azienda Sanitaria e ciò che invece è di esclusiva responsabilità ed onere della Ditta offerente. In tale documento la Ditta dovrà anche riportare l'organizzazione che l’Azienda Sanitaria dovrà darsi al proprio interno per ottemperare alla vigenti disposizioni di legge in funzione del 11 servizio offerto. La Ditta dovrà produrre una proposta di contratto di affidamento del procedimento di conservazione sostitutiva in Cloud Computing che specifichi la modalità di svolgimento del servizio e definisca la figura del "Responsabile del progetto" interno. La Ditta dovrà altresì produrre una proposta di mandato di nomina del Responsabile della Conservazione Sostitutiva della Ditta relativo al servizio de quo, ai sensi dell’art. 43 “Incarico di Responsabile della conservazione sostitutiva e Responsabile di progetto del Cloud provider”. Qualora durante il periodo di durata del presente appalto, siano richieste o si rendano disponibili, a titolo obbligatorio e non, da parte di DigitPA o di enti terzi accreditati, certificazioni della rispondenza alle norme, linee guida o regole tecniche del sistema di conservazione sostitutiva fornito, la Ditta aggiudicataria dovrà, senza oneri aggiuntivi, provvedere alla certificazione del sistema fornito. Art. 8 – Requisiti tecnologici. La Ditta offerente dovrà conservare i dati presso locali di cui abbia la piena disponibilità per tutta la durata del contratto e dovrà altresì prendere in carico la custodia del dato fino alla scadenza contrattuale, ai sensi dell’art. 51 del Codice dell’Amministrazione Digitale (D.lgs 82/2005). La Ditta deve presentare e descrivere dettagliatamente le modalità di gestione e le politiche di retency che intende adottare per le tipologie di documenti richiesti. La Ditta pertanto deve descrivere dettagliatamente le modalità tecnico-organizzative di gestione dei documenti nell’arco temporale della loro permanenza nel sistema di conservazione nonché le politiche e le modalità di scarto dei documenti stessi a seconda delle tipologie riportate nel presente Capitolato. Se tale indisponibilità sarà superiore al tempo dichiarato verranno applicate le penali di cui agli artt. 40 e 41. La Ditta deve descrivere altresì i livelli di sicurezza e riservatezza assicurati nonché i sistemi tecnologici adottati a tale scopo allegando le eventuali certificazioni rilasciate da enti terzi e/o produttori di attrezzature ed impianti, in merito alle procedure ed alle tecnologie utilizzate. CAPO II. ARCHITETTURA TECNOLOGICA. Art. 9 – Avvio del servizio e collaudo. Il Fornitore deve garantire l’attivazione del servizio di conservazione dei documenti amministrativi e sanitari entro 70 giorni dalla comunicazione di aggiudicazione.Per le immagini PACS e per il Servizio di Disaster Recovery l’attivazione del servizio dovrà essere garantita dalla Ditta aggiudicataria entro 140 giorni dalla comunicazione di aggiudicazione. La transizione dal precedente Fornitore del servizio di conservazione non dovrà causare alcun impatto negativo sui servizi dell’Azienda Sanitaria. A tale fine la Ditta aggiudicataria dovrà pianificare, organizzare e specificare nell’offerta le attività di avviamento presentando un piano di avviamento del servizio comprensivo di Gantt delle attività e di un piano per la valutazione dei rischi. Per attivazione del servizio di conservazione si intende la predisposizione di tutte le procedure, attività, ruoli, funzioni propedeutiche per la fruizione del servizio da parte dell’Azienda Sanitaria. In particolare, l’aggiudicataria dovrà eseguire tutti i test di integrazione con il sistema informatico dell’ Azienda Sanitaria certificando la validità, l'integrità, la leggibilità dei documenti e la loro corretta conservazione. La conclusione delle attività di avviamento sarà certificata da un verbale di collaudo. Per quanto riguarda il collaudo, la Ditta concorrente dovrà produrre, nell'offerta tecnica, uno schema procedurale completo del test del servizio per gli aspetti funzionali e per le prestazioni in 12 relazione a quanto offerto. Tale schema, che dovrà comprendere almeno le specifiche del servizio richiesto con il presente appalto, dovrà essere comunque preventivamente approvato dall’Azienda Sanitaria. Le Ditte concorrenti si impegnano ad accettare le modifiche allo schema di test eventualmente richieste. La Ditta aggiudicataria si impegna ad adeguare tempestivamente il servizio per gli aspetti che non superino il collaudo. In caso di mancato superamento del collaudo, l’Azienda Sanitaria si riserva la facoltà di addebitare al Fornitore i costi che dovranno essere sostenuti per effettuare nuovamente il test. Art. 10. Data center. I data center che ospitano e gestiscono l'insieme delle risorse hardware, software e gli archivi dei documenti conservati nell'ambito del servizio in Cloud Computing devono essere organizzati ed amministrati nel rispetto delle norme italiane ed europee sulle misure di sicurezza e fornito di appositi sistemi di protezione logica e fisica al fine di impedire accessi non autorizzati.Al personale incaricato dall’Azienda Sanitaria potrà essere consentito l'accesso ai data center per verificare la qualità delle misure, delle procedure e delle tecnologie messe in atto al fine di assicurare la sicurezza, l'integrità e la riservatezza ai propri documenti. Il Fornitore si impegna a mantenere i dati clinici in data center situati in un Paese U.E con garanzia di applicazione delle norme e della giurisdizione italiane/europee. L'architettura deve garantire la completa continuità operativa attraverso opportune soluzioni di business continuity e disaster recovery situate in siti secondari posti in altre sedi ad una distanza di almeno 60 km rispetto ai data center che erogano il servizio. La Ditta deve descrivere dettagliatamente il sistema hardware e software di conservazione implementato presso il proprio data center e con il quale intende fornire il servizio esponendo eventuali vantaggi che tale organizzazione sistemistica può offrire. In tale descrizione la Ditta dovrà dichiarare il tempo massimo di indisponibilità del sistema durante un anno solare. Art. 11 – Piano di migrazione dei dati verso il Cloud Computing. Il Fornitore dovrà farsi carico dell’acquisizione in conservazione dello stock di documenti ed immagini pregresso (conservato o non) dell’Azienda Sanitaria.La presa in carico del pregresso e la messa in conservazione deve avvenire entro 6 mesi dalla disponibilità dello stesso. L'acquisizione da parte del Fornitore dovrà essere fatta in modo da conservare le indicizzazioni presenti, in modo da garantire la possibilità di ricerca e l'associazione refertoimmagine, di tale soluzione la Ditta fornirà apposite indicazioni documentali. Art. 12 – Interoperabilità dei dati in Cloud Computing. Il Fornitore dovrà garantire l’interoperabilità, intesa come “possibilità di un sistema di Cloud di interagire con altri sistemi Cloud e non”, dei servizi erogati tra sistemi ospedalieri intra-cloud, inter cloud e sistemi cloud con no-cloud ove esistenti. L’infrastruttura del Fornitore dovrà garantire che i servizi Cloud possano essere trasferiti su piattaforme di fornitori differenti ovvero possano eventualmente essere riportati all’interno dell’organizzazione dell’Azienda Sanitaria senza alcun impatto e senza costi aggiuntivi. 13 Art. 13. Portabilità dei dati in Cloud Computing. Il Fornitore dovrà garantire un servizio avente caratteristiche tecnologiche che diano garanzia di portabilità dei dati nei casi di passaggio ad altro Fornitore, al termine del contratto, o per altre cause di interruzione del rapporto contrattuale non preventivabili. Il Fornitore deve documentare, all’interno della documentazione tecnica, la strategia, le modalità di uscita e di assistenza, ovvero il processo di migrazione del patrimonio conservato verso un diverso fornitore. La strategia di migrazione dovrà pertanto essere descritta dal Fornitore in termini di: 1. modalità di esportazione dei dati; 2. modalità di distruzione dei dati presso il Fornitore con effetto su tutte le copie presenti nel sistema specificando l’arco temporale in cui avverrà l’operazione. Durante codesta fase di chiusura l'utenza non dovrà subire alcun peggioramento del servizio erogato. I requisiti di portabilità devono essere realizzati dal Fornitore attraverso l’adozione di standard per i diversi elementi che compongono il servizio, quali ad esempio: - Cloud Data Management Interface (CDMI), che definisce le tipologie di interfacce che le applicazioni dovranno usare per creare, recuperare, modificare e cancellare i data element su un cloud (portabilità dei dati); - Open Virtualization Format (OVF), che definisce lo standard per la creazione e la distribuzione delle macchine virtuali (portabilità dei sistemi). Si evidenzia che in questo ambito gli standard possiedono differenti livelli di maturità e sono in continua evoluzione, pertanto la Ditta si impegna a recepire i predetti standard conformemente al loro grado di evoluzione. Al fine di evitare situazioni di vendor lock in, al termine del contratto, il Fornitore avrà altresì l'obbligo di mettere a disposizione dell’Azienda Sanitaria tutti i documenti correttamente conservati nonché dovrà, in ogni caso, garantire l’opportuno affiancamento al fornitore subentrante a seguito di nuova aggiudicazione sia nei casi previsti di risoluzione per inadempimento o recesso anticipato da parte dell’Azienda Sanitaria. CAPO III. FLUSSO DI CONSERVAZIONE. Art. 14 – Macro-fasi del servizio in Cloud. - Il flusso di conservazione deve articolarsi nelle seguenti macro-fasi: acquisizione dei documenti; verifica di validità dei documenti; apposizione della marcatura temporale; invio in conservazione; restituzione della marca temporale; Inoltre deve essere prevista la gestione delle eccezioni in ogni punto del flusso. Art. 15 – Acquisizione dei documenti. Il sistema del Fornitore dovrà acquisire e conservare documenti clinici, immagini diagnostiche e documenti amministrativi. Documenti clinici: l'acquisizione deve avvenire mediante interfaccia diretta verso i sistemi 14 dipartimentali o verso il repository aziendale di consolidamento dei documenti, secondo quanto stabilirà l’Azienda Sanitaria. Le interfacce dovranno essere implementate nella modalità e secondo il protocollo più opportuno per il sistema da integrare con tutta la flessibilità necessaria. Il Fornitore deve garantire l’integrazione di nuovi sistemi qualora l'Azienda lo richieda nel corso della fornitura. Immagini diagnostiche: L'acquisizione delle immagini diagnostiche avverrà tramite interrogazione del sistema PACS. L'acquisizione dovrà prevedere: - acquisizione ed enumerazione di tutti gli oggetti DICOM facenti parte dello studio, mediante QUERY DICOM verso il PACS; - gestione delle modifiche degli studi; - riconciliazione con i relativi referti. Documenti amministrativi: L'acquisizione potrà avvenire mediante interfaccia ai sistemi produttori o mediante acquisizione dei documenti esportati dei sistemi produttori in un'apposita area di lavoro. Nella documentazione amministrativa rientrano diverse tipologie di documenti quali, a titolo esemplificativo e non esaustivo, testi deliberativi, determine, reversali, ordinativi ai fornitori, mandati di pagamento nonchè il protocollo informatico. La soluzione proposta dovrà necessariamente tenere conto che in prospettiva il volume dei documenti interessati alla conservazione, nonché l’ambito di applicazione del servizio, potrebbe ampliarsi. Art. 16 – Verifica di validità dei documenti. Il flusso di conservazione del Fornitore deve prevedere la presenza di una fase di verifica dei documenti firmati. La verifica consentirà di garantire la correttezza della firma, la validità del certificato usato per firmare e la validità del documento firmato secondo la normativa vigente. I documenti che non rispondono a questo requisito saranno intercettati dal flusso e segnalati all'unità competente nell'Azienda Sanitaria, mediante alert ed e-mail. I documenti che non hanno superato la verifica saranno inoltre messi a disposizione su un'apposita console per la successiva gestione. La funzione di verifica dovrà essere realizzata da una componente che potrà essere installata presso l'Azienda. Inoltre deve essere messa a disposizione anche una libreria client utilizzabile dalle applicazioni aziendali sorgenti che permetta di verificare la validità (scadenza, revoca, sospensione etc.) del certificato di firma. La componente server dovrà essere configurata inizialmente in modo da gestire tutti gli Enti Certificatori riconosciuti da DigitPA; se necessario, potrà essere configurata per riconoscere uno specifico insieme di Enti Certificatori. Il servizio dovrà operare con le firme digitali fornite nel progetto regionale FDCOS e deve comunque garantire il riconoscimento dei documenti firmati attualmente dai dipartimentali delle Aziende e dei certificati di firma esistenti in azienda. Art. 17 – Apposizione della marcatura temporale. Il servizio deve prevedere la marcatura temporale di ogni singolo documento clinico firmato. La marcatura avverrà tramite accesso ad un servizio di marcatura tale da garantire un adeguato tempo di risposta sui volumi gestiti dal servizio. Il servizio dovrà essere predisposto in modo che l'istante della sottoscrizione digitale del documento (evincibile dal signing-time) e l'istante di apposizione della marca temporale siano estremamente ravvicinati, compatibilmente con i vincoli tecnici imposti dall'architettura del sistema (bilanciamento del carico, code, tempo di risposta del servizio di marcatura, etc.). Tale attenzione 15 organizzativa rende improbabile che si verifichi una revoca o sospensione del certificato nel tempo che intercorre tra l'istante di apposizione della firma e l'attività di consolidamento con la marca. Art. 18 – Invio in conservazione. Il servizio del Fornitore deve includere la conservazione dei documenti acquisiti secondo le procedure stabilite dalla vigente normativa ai sensi dell’art. 3 “Requisiti normativi” del presente Capitolato. Art. 19 – Restituzione della marca temporale. Il servizio del Fornitore deve prevedere, la possibilità di restituire al repository la marca temporale apposta al documento (in modalità attached o detached) secondo le specifiche tecnico – operative che saranno definite dall’Azienda Sanitaria. CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY. Art. 20 - Continuità operativa (CO) del servizio. Il Fornitore dovrà presentare una soluzione tecnica che garantisca la continuità del servizio ai sensi dell’art. 50-bis del Codice dell’Amministrazione Digitale - intesa come piano d’insieme delle procedure e soluzioni tecnico-organizzative, accorgimenti e delle misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali. Il Fornitore inoltre indicherà i ruoli, le responsabilità degli amministratori di sistema, i sistemi di escalation e le procedure per la gestione della continuità operativa, tenuto conto delle potenziali criticità relative a risorse umane, strutturali e tecnologiche. La soluzione progettuale dovrà indicare anche le modalità di gestione e risoluzione legate ad eventi imprevedibili e di tipo calamitoso (incendi, allagamenti ecc) - con adeguata registrazione degli stessi - e dei principali eventi potenzialmente dannosi per la sicurezza dei dati, che manifestandosi subito nella loro gravità, comporteranno l’avvio del piano di continuità operativa. La soluzione progettuale deve tener conto di altri scenari di rischio, quali quelli determinati da un attacco di tipo terroristico o anche solo malevolo. Il Fornitore è tenuto pertanto a notificare all’Azienda Sanitaria, in tutte le fasi di esecuzione del servizio, gli eventi, i fatti ed accadimenti relativi a: - incidenti; - trasferimento dei dati; - cambi di ruolo; - accessi da parte delle forze dell’ordine. La Ditta aggiudicataria, per nessuna ragione potrà sospendere o non eseguire, in tutto od in parte, le attività oggetto del servizio. Il servizio oggetto del Capitolato Speciale dovrà essere espletato con assoluta continuità nelle 24 ore per tutta la durata del servizio e per il tempo necessario al passaggio ad eventuale altro Fornitore - al termine del contratto o per i casi di cui agli artt. 54 “Recesso unilaterale” e 55 “Risoluzione del contratto” - fino a completo funzionamento delle attività oggetto del presente Capitolato Speciale. Per garantire la continuità operativa è indispensabile che sia assicurata all’Azienda Sanitaria dal Fornitore, in proprio ovvero ricorrendo ad un prestatore di servizi ICT, il servizio di copia e allineamento dei dati dei sistemi primari con i dati contenuti nei sistemi secondari. In quest’ultimo 16 caso il Fornitore sarà considerato garante, ai fini della responsabilità, dell’attività del terzo prestatore di servizi. L’Azienda Sanitaria si riserva di definire la cadenza temporale del servizio di copia dei dati, tenuto conto del contesto tecnico operativo dell’Azienda Sanitaria e dei valori di RPO definiti dalla stessa, nonché le modalità e il luogo di custodia delle copie di backup. Le attività svolte dovranno essere rendicontate dal Fornitore mensilmente sulla base dei livelli di servizio e degli obiettivi di RPO attesi, dando anche evidenza dei valori registrati. Art. 21 – Disaster Recovery (DR). Il Fornitore è tenuto a garantire che sia il sito che il piano e gli impianti di Disaster Recovery (DR) siano stati organizzati e progettati tenendo conto delle esigenze di continuità e manutenibilità dei data center, garantendo, per tutto l’arco temporale che lo impegna nei confronti dell’Azienda Sanitaria, che abbia richiesto la fornitura, ovvero la messa a disposizione dei siti alternativi di DR: - - - l’assoluta sicurezza dei siti, ossia l’adozione di soluzioni in linea con lo stato dell’arte, dell’evoluzione tecnologica e della normativa vigente al riguardo, assicurando la protezione da accessi non autorizzati, la presenza di gruppi di continuità e accorgimenti che garantiscano l’erogazione dell’elettricità senza interruzioni, la presenza di dispositivi antincendio e anti-allagamento nonché il rispetto dei requisiti richiesti dall’Azienda Sanitaria; la fault tolerance (letteralmente tolleranza ai guasti) con possibilità di isolare l’apparato in fault e provvedere alle riparazioni e/o alla sostituzione delle componenti guaste, senza pregiudicare la continuità delle funzionalità e del servizio erogato; la disponibilità a soddisfare le eventuali esigenze di crescita che fosse necessario fronteggiare nel corso dell’erogazione dei servizi di DR. Il Fornitore si impegna a predisporre le opportune misure di protezione fisica per proteggere i dati, contenuti negli apparati storage dedicati alla soluzione di DR, da accessi non autorizzati. Il Fornitore dovrà altresì, per tutto l’arco temporale che lo impegna nei confronti dell’Azienda Sanitaria assicurare l’accesso ai siti alternativi di DR al personale dell’Azienda Sanitaria per consentire, la verifica della costante adeguatezza del sito alla soluzione di DR richiesta e il riscontro del rispetto dei requisiti definiti ai sensi degli articoli 1662 e 1665 del codice civile. La verifica del rispetto degli obblighi connessi alla disponibilità gestione e manutenzione del sito è considerata come un presupposto essenziale per il pagamento dei corrispettivi dovuti. Il Fornitore garantisce, a suo carico, gli interventi e le attività di manutenzione ordinaria, preventiva e correttiva nonché il costante aggiornamento tecnologico delle caratteristiche del sito, senza oneri aggiuntivi per l’Azienda Sanitaria, essendo la disponibilità del sito con determinate caratteristiche, un requisito minimo di servizio essenziale alla soluzione di DR. Altre opzioni, varianti o situazioni che comportino cambi evolutivi per esigenze dell’Azienda Sanitaria verranno apportate in linea con la normativa vigente in tema di appalti (DLgs.. 163/2006 e s.m.i., e relativo regolamento di attuazione) ove se ne ravvisi la necessità. Art. 22 – Manutenzione della soluzione di Continuità Operativa (CO) e di Disaster Recovery (DR). Il Fornitore si occuperà della manutenzione della soluzione di CO/DR e delle componenti HW, SW e di rete che compongono la c.d. configurazione di emergenza. La Ditta affidataria del servizio di CO/DR si occuperà di: 17 - - - - garantire i servizi per la riattivazione e il ripristino dei sistemi primari/di produzione in presenza di un evento catastrofico, di una condizione di emergenza, di un disastro; assicurare la disponibilità delle componenti HW e SW della configurazione di emergenza da garantire all’Azienda Sanitaria; pianificare adeguatamente le attività da svolgere per assicurare il funzionamento della soluzione di CO/DR; verificare costantemente nell’erogazione dei servizi la capacità della soluzione di DR di rispondere efficacemente alle situazioni di emergenza; verificare con l’Azienda Sanitaria il costante allineamento dei servizi, delle risorse, delle componenti HW e SW, delle licenze SW necessarie alla soluzione di DR, rispetto all’evoluzione del sistema informatico, della connettività e della struttura organizzativa dell’Azienda Sanitaria; supportare l’Azienda Sanitaria nel valutare l’adeguatezza degli accorgimenti e delle procedure messe in atto per assicurare il ripristino dell’operatività, in occasione delle verifiche e dei test periodici; identificare ed attuare, ove possibile, senza impatti o cambiamenti nelle configurazioni e negli ambienti del sistema informativo primario/di produzione dell’Azienda Sanitaria, le eventuali misure di aggiornamento tecnologico, adeguamento e/o miglioramento di cui emergesse la necessità nel corso dell’erogazione dei servizi per assicurare l’aderenza della soluzione di CO/DR; supportare l’Azienda Sanitaria nel verificare periodicamente la soluzione di DR attraverso lo svolgimento delle previste sessioni di test. Il Fornitore si impegna ad assicurare le attività di manutenzione HW e SW, al fine di assicurare il rispetto dei tempi di risoluzione e ripristino previsti a fronte di malfunzionamenti e anomalie di tutte le componenti messe a disposizione nell’ambito della soluzione di Disaster Recovery, anche eseguendo le necessarie riparazioni e sostituzioni. La verifica del rispetto degli obblighi connessi alla manutenzione della soluzione di DR e delle componenti della configurazione di emergenza è considerata come un presupposto necessario per il pagamento dei corrispettivi dovuti. In prospettiva di una crescita fisiologica del S.I. dell’Azienda Sanitaria il Fornitore terrà conto di eventuali esigenze di incremento ad es. dello spazio di storage, del numero dei server, della capacità computazionale e dei canali di collegamento. Art. 23 – Test periodici della soluzione Il Fornitore si impegna a sottoporsi all’esecuzione di test periodici (almeno una volta l’anno), per simulare il funzionamento dei siti di DR in caso di disastro dei siti primari, al fine di verificare la corretta erogazione dei servizi e la costante adeguatezza della soluzione di DR e che sia altresì assicurato il corretto ripristino del funzionamento del sistema informativo dell’Azienda Sanitaria. Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l’Azienda Sanitaria nell’effettuare i test periodici previsti per la verifica della corretta funzionalità delle soluzioni adottate per garantire la soluzione di Disaster Recovery, del sistema informativo primario dell’Azienda Sanitaria, ed assicurare che i servizi erogati vengano costantemente mantenuti allineati all’evoluzione dell’architettura e dei servizi. Il Fornitore dovrà predisporre il test al fine di simulare una “vera” condizione di emergenza/di indisponibilità prolungata e, al fine di non rischiare di compromettere i dati di produzione per l’effettuazione delle simulazioni, dovrà predisporre copie dei dati ad uso esclusivo della simulazione che saranno cancellate al termine delle prove. L’avvenuta cancellazione di dette copie dei dati sarà verificata in contraddittorio dalle parti nei modi e tempi che saranno indicati. 18 Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l’Azienda Sanitaria nel verificare e testare le procedure formalizzate per garantire, in condizioni di funzionamento normale dei sistemi primari, le operazioni di allineamento. Il Fornitore si impegna a mettere a disposizione strumenti per facilitare la gestione e la conduzione del test anche da remoto. Il Fornitore, nell’effettuazione dei test periodici di Disaster Recovery, dovrà simulare uno scenario che prevede l’indisponibilità di tutte le apparecchiature del sito primario e il ripristino nel sito di DR dell’infrastruttura ICT necessaria al riavvio del sistema informativo colpito dalla situazione di emergenza/disastro. L’effettuazione del test verrà concordato con l’Azienda Sanitaria. Il test potrà essere articolato secondo le seguenti macro fasi, da definire operativamente nella documentazione annessa al Piano di DR, che verrà inserito dalla Ditta nella soluzione progettuale: 1. messa a disposizione e verifica di tutta la documentazione procedurale e tecnica connessa ai servizi di DR; 2. attivazione e ripartenza dei sistemi nel sito di DR; 3. verifica delle funzionalità di base degli ambienti elaborativi; 4. verifica dell’allineamento e della congruità dei dati tra i siti primari ed i siti di DR; 5. verifica dell’operatività dell’infrastruttura di rete; 6. verifica della corretta distribuzione delle rotte IP tra gli apparati di rete; 7. verifica connettività tra il sito di DR e i siti primari; 8. attivazione dei sottosistemi applicativi; 9. test applicativi. Al fine di verificare la rispondenza delle caratteristiche di affidabilità delle infrastrutture del data center, durante i test si potrà richiedere la simulazione della indisponibilità dell’infrastruttura tecnologica. Al termine del test il Fornitore redige e sottopone all’accettazione dell’Azienda Sanitaria il verbale del test e il documento di tracciatura dell’esito delle prove effettuate. L’accettazione/approvazione degli esiti del test è necessario ed è considerato come un presupposto essenziale ai fini del pagamento dei corrispettivi dovuti. Nel caso in cui il test non dovesse dare esito positivo il Fornitore si impegna a ripetere il test in accordo con l’Azienda Sanitaria, si impegna altresì a risolvere le criticità evidenziate, restando a suo carico ogni onere derivante dalle predetta attività comprese le responsabilità da ciò derivanti. Art. 24 – Servizio di assistenza operativa. Il Fornitore assicura per tutta la durata del contratto, un servizio di assistenza operativa al fine di garantire la presenza di un adeguato supporto e il presidio, la gestione e la manutenzione delle soluzioni adottate. A tal fine l’Azienda Sanitaria richiede al Fornitore di provvedere ad assicurare la presenza di idoneo e qualificato personale a presidio dell’infrastruttura e delle apparecchiature dedicate alla soluzione di Disaster Recovery garantendo principalmente: - il presidio, la gestione e la manutenzione delle infrastrutture dedicate alla soluzione di Disaster Recovery; la manutenzione della soluzione realizzata; l’assistenza operativa in condizioni normali e di emergenza e durante l’esecuzione dei test periodici previsti per la verifica del corretto funzionamento delle procedure di DR e del corretto dimensionamento delle componenti connesse alla soluzione di Disaster Recovery; 19 - il monitoraggio e la gestione delle risorse al fine di mantenere e ottimizzare i livelli di servizio; la verifica del costante allineamento fra le copie dei dati del sito di Disaster Recovery e i dati del sistema informativo primario; la rendicontazione (che può essere richiesta a seconda delle esigenze dell’Amministrazione con cadenza giornaliera, settimanale, mensile, trimestrale ecc.) dei livelli RPO riscontrati; la definizione e il costante adeguamento delle procedure di Disaster Recovery; la disponibilità della configurazione di ripristino in caso di emergenza in accordo con i livelli di servizio; la predisposizione e l’aggiornamento del Piano di Disaster Recovery nonché della relativa documentazione e manualistica; il supporto e l’assistenza per assicurare il ripristino della normalità dalla condizione di emergenza e la ripresa dell’operatività del Sistema Informativo Primario; le attività per riportare i dati e le configurazioni dei sistemi dal sito di DR, al sito primario, secondo quanto previsto nel Piano di Disaster Recovery. Il Fornitore avrà il compito di assicurare il corretto funzionamento dei sistemi installati presso il sito di DR sia quando il sito primario dell’Azienda Sanitaria opera in condizioni di normale operatività sia per garantirne l’effettiva disponibilità durante le fasi di test e in condizioni di emergenza. Il servizio di assistenza operativa deve comprendere essenzialmente le attività di presidio per la gestione operativa di tutti i sistemi ospitati nel sito di Disaster Recovery. Il servizio verrà fornito nelle finestre temporali che l’Azienda Sanitaria riterrà necessarie in considerazione della soluzione scelta. Durante il periodo di emergenza, il Fornitore dovrà assicurare l’assistenza operativa ed il presidio a supporto del personale dell’Azienda Sanitaria, è comunque responsabile della conduzione in esercizio dei sistemi, eventualmente anche tenuto conto, ove richiesto, dello skill e del mix di risorse professionali che l’Azienda Sanitaria stessa avrà richiesto e stabilito, in considerazione del dimensionamento effettuato. Il Fornitore garantirà il corretto funzionamento della configurazione di Disaster Recovery nonché le funzionalità di monitoraggio e gestione degli allarmi relativi: - alle risorse HW e SW di base dei sistemi (dischi, memoria, processori, connessione di rete, SAN Fabric ecc.) connessi alla soluzione di DR adottata; - allo stato dei prodotti di gestione del mirroring e backup; - alla connettività tra i sistemi del sito primario e del sito di DR; - il monitoraggio di tutte le funzionalità di mirroring; - la pianificazione operativa delle attività schedulabili; - la gestione delle risorse di sistema al fine di mantenere e ottimizzare i livelli di servizio; - la fornitura dei deliverable e rendicontazioni previste. Art. 25 – Disaster recovery del RIS-PACS aziendale. Il Fornitore deve mettere a disposizione un servizio di replica remota del PACS (Disaster Recovery). Tale servizio, che dovrà insistere sullo stesso storage utilizzato per la conservazione delle immagini, si configura come una replica di sicurezza del PACS. In caso di connettività adeguata tale sistema potrà essere utilizzato per la Recovery immediata o parziale dell’Archivio PACS, garantendo un RPO non superiore a 48 h. Il sistema dovrà prevedere un servizio di consultazione web dei dati replicati utilizzabile a fronte di disservizio del sistema principale in azienda. Il servizio deve inoltre implementare un XDS Repository per le immagini compatibile con le specifiche del progetto di fascicolo regionale. In particolare dovrà essere supportato il profilo 20 Cross-Enterprise Document Sharing for Imaging (XDS-I.b). L'architettura proposta, i modelli di sicurezza adottati e la modalità di utilizzo dello storage unificato saranno oggetto di valutazione tecnica. Il servizio deve essere realizzato in modo da consentire l'ulteriore eventuale implementazione di funzioni di visualizzazione diagnostica sui dati replicati, erogata con software Medical Device di classe IIa (Direttiva 93/42/EEC e emendamenti successivi). CAPO V. ALTRE SPECIFICHE. Art. 26 – Funzione di esibizione. La Ditta offerente deve fornire un servizio di Esibizione della documentazione su supporto digitale e/o analogico che soddisfi i requisiti dell'articolo 6, Deliberazione CNIPA N. 11/2004 "Obbligo di esibizione". Il servizio deve pertanto prevedere specifiche funzioni di esibizione dei documenti conservati, che prevedano: - ricerca del referto/documento per parametri incrociati (nome, cognome, data, codice fiscale ecc); - esibizione da remoto con funzioni di validazione degli oggetti esibiti; - export delle immagini in formato ISO contenente DICOM oppure completo (incluse le evidenze di conservazione); - rettifica, sostituzione, cancellazione logica, scarto dei documenti e delle relative informazioni, operazioni che per la loro delicata natura devono sempre essere opportunamente tracciate nel sistema di conservazione. La funzione di ricerca e visualizzazione deve essere disponibile su interfaccia web agli utenti abilitati. Il sistema deve implementare un'adeguata gestione degli accessi. Il form web di ricerca dovrà essere costruito dinamicamente in base alle caratteristiche della classe documentale di riferimento, per l'inserimento di tutti i parametri sui quali effettuare la ricerca. Il sistema deve prevedere la consultazione per Unità Operativa dell’Azienda Sanitaria e per tipologia di documento. Le funzioni di ricerca e di esibizione devono essere possibili anche per mezzo di opportuni web service che consentano di realizzare l'interoperabilità con i sistemi informativi dell’Azienda Sanitaria. Il documento conservato deve essere reso leggibile in qualunque momento e disponibile, a richiesta, su supporto cartaceo. Il documento conservato può essere esibito anche per via telematica. La Ditta aggiudicataria, per tutta la durata del contratto, dovrà garantire, senza oneri aggiuntivi, l'aggiornamento alle norme e/o regolamenti che andranno a modificare la valenza del documento da esibire. Le Ditte devono presentare e descrivere dettagliatamente, le modalità di esibizione che intendono adottare per le tipologie di documenti richiesti. Art. 27. Confidenza del Cloud Provider con i processi clinico – sanitari e dell’organizzazione ospedaliera. Il Fornitore presenterà, nella soluzione progettuale, un capitolo atto a dimostrare il livello di confidenza raggiunto relativo ai processi clinico-sanitari ed organizzativi tipici di un’azienda sanitaria. 21 Il progetto dovrà pertanto tener conto dei seguenti aspetti: - conoscenza, formazione, gestione e controllo dei processi diagnostico – terapeutici ospedalieri; comprensione delle implicazioni organizzative che il servizio in oggetto ha di un ambiente clinico; capacità di confronto e benchmarking – inteso come miglioramento dell’efficienza delle prestazioni mediante servizi Cloud – fra ospedali ed aziende sanitarie italiane e/o di altri stati. Art. 28 – Attività di consulenza. Il Fornitore deve garantire l'attività di consulenza necessaria a: − supportare l'aggiornamento del Manuale di gestione dei flussi documentali dell’Azienda Sanitaria; − rispondere a quesiti di natura tecnico-legale che dovessero sorgere nell'ambito della fornitura. Art. 29 - Formazione ed addestramento. La Ditta concorrente dovrà fornire e dettagliatamente descrivere un adeguato piano di formazione e addestramento per tutto il personale interno dell’Azienda Sanitaria che sarà coinvolto nella gestione del servizio per ottemperare alla vigenti disposizioni di legge in funzione del servizio offerto. Dovranno essere riportate le figure interessate e la specifica formazione prevista. Durante il periodo di vigenza del presente appalto la Ditta aggiudicataria dovrà garantire adeguato aggiornamento formativo, anche in relazione ad eventuali evoluzioni della normativa vigente, alle figure interne dell’Azienda Sanitaria. I corsi di formazione dovranno essere tenuti presso le sedi dell’Azienda Sanitaria, con orario e calendario tale da non intralciare la normale attività lavorativa del personale coinvolto. In offerta dovrà essere chiaramente indicato il piano di formazione specifico per ogni profilo professionale ed il numero di giornate previste sia per la formazione che per l’avviamento del sistema. Art. 30. Privacy Level Agreement (PLA). La Ditta deve garantire altresì la completa aderenza ed il rispetto della normativa vigente sulla privacy in ambito sanitario e delle sue successive evoluzioni per tutta la durata del contratto. La Ditta deve infine: - dimostrare l’adozione di opportuni sistemi di cifratura sia in fase di storage che in fase di comunicazione secondo standard ISO; dimostare, attraverso esplicite garanzie, il mantenimento di un adeguato livello di tutela dei dati personali da parte degli incaricati, responsabili esterni e sub-fornitori; fornire modalità di controllo all’Azienda Sanitaria attraverso report periodici sulla tracciabilità delle azioni svolte dai vari soggetti sui dati al fine di poter ricostruire le relative responsabilità. 22 Art. 31 – Servizi aggiuntivi e migliorativi. Saranno valutati positivamente ulteriori servizi aggiuntivi e/o migliorativi che la ditta vorrà proporre che non dovranno comunque comportare alcun costo aggiuntivo per l’Azienda Sanitaria. CAPO VI. VERIFICHE. Art. 32 – Audit dei processi. Il sistema-servizio proposto dovrà effettuare un continuativo e metodico processo di auditing al fine di monitorare ogni aspetto della gestione quotidiana del sistema informatico, in termini di accesso, di operazioni effettuate, di documenti prodotti (ed eventualmente sottoscritti), di documenti consultati, ecc. L'audit andrà effettuato su ogni componente del sistema informativo coinvolta nella formazione del singolo documento, a partire dal Sistema Aziendale e dovrà essere conservato assieme al documento stesso in modo da garantirne la sua valenza clinica/amministrativa e l'impossibilità di azione illecite sul documento stesso. La Ditta deve descrivere dettagliatamente, il metodo e i sistemi di tracciamento dell'audit di formazione del documento clinico ed amministrativo proposti. La Ditta dovrà altresì effettuare una revisione dettagliata sulle proprie attività di controllo, incluso l’IT ed i processi ad esso correlati, nel rispetto dello Statement on Auditing Standards (SaaS 70). Art. 33 – Tracciabilità. Tutti gli eventi, compresa l’attività di consultazione, dovranno essere registrati dal sistema, garantendo la completa tracciabilità di ogni operazione. Gli utenti abilitati a tale funzione potranno in ogni momento visualizzare da interfaccia le registrazioni di tracciabilità. Il servizio deve prevedere la tracciatura delle operazioni eseguite, sia da parte dell'utente esterno (invio in conservazione, modifica, esibizione, cancellazione, ecc.) sia dalle procedure interne (firma del responsabile della conservazione, marcatura temporale, test di lettura, riversamento, ecc.). Art. 34 – Presidio e monitoraggio. Il servizio fornito dalla Ditta deve prevedere una funzione di monitoraggio dei flussi di conservazione con le seguenti caratteristiche: - console di monitoraggio degli oggetti in lavorazione; funzioni di gestione manuale delle anomalie (cestino); segnalazione e-mail di errori, anomalie; statistiche grafiche sui volumi acquisiti/conservati. La funzione di monitoraggio è in carico al Fornitore per tutta la durata contrattuale. Il servizio dovrà mettere a disposizione dell'utenza un sistema di gestione e monitoraggio, basato su interfaccia web ed accessibile via Internet, per monitorare l'andamento del servizio, il numero e la dimensione dei documenti conservati, il relativo stato ecc nonché di effettuare ricerche, estrarre statistiche, analizzare i livelli di servizio al fine di consultare e scaricare tutti i dati necessari al loro calcolo oltre ad ogni altra funzionalità utile per l'utenza del servizio. 23 Art. 35 – Sicurezza. La Ditta deve garantire e dimostrare nella soluzione progettuale la completa sicurezza del servizio, tramite misure infrastrutturali e procedurali, in termini di: - riservatezza; - continuità operativa e disaster recovery; - recupero e conservazione dei dati in caso di disservizio; - modificabilità dei dati/documenti; - tracciabilità degli accessi; - garanzia della validità nel tempo dei documenti firmati. La Ditta, in relazione alla sicurezza nel procurement del Cloud, dovrà altresì produrre un documento tecnico in cui descrive la propria soluzione rispetto ai parametri chiave della sicurezza, individuati nella check list della guida Procure Secure di ENISA (European Network and Information Security Agency), principalmente in relazione a: - disponibilità del servizio; - risposta ad incidenti; - elasticità del servizio; - gestione del ciclo di vita delle informazioni; - gestione della compliance e delle vulnerabilità; - gestione dei log. Art. 36 – Servizio di help desk. Il Fornitore deve mettere a disposizione un servizio di help desk, raggiungibile tramite telefono (numero verde gratuito), e-mail e fax, per il personale tecnico e gli utenti dell’Azienda Sanitaria, in ordine ai seguenti aspetti: - indisponibilità del servizio di conservazione; malfunzionamento del servizio di conservazione; richiesta di attivazione di nuovi servizi o nuove utenze; richieste di chiarimenti sul servizio; gestione delle eccezioni. Il servizio di help desk dovrà essere garantito dalle 8:00 alle 19:00, dal lunedì al venerdì esclusi i festivi. Il Fornitore deve mettere a disposizione un sistema di Trouble Ticketing al fine di fornire la necessaria trasparenza nella gestione dei problemi. CAPO VII. MANUTENZIONE. Art. 37 – Manutenzione correttiva. Il Fornitore s’impegna a garantire la buona funzionalità applicativa del sistema mediante la diagnosi e la rimozione delle cause dei malfunzionamenti dei sistemi nonché dei loro effetti, sia su segnalazione degli operatori dell’Azienda Sanitaria, sia per quanto autonomamente rilevato dalla Ditta aggiudicataria. La manutenzione correttiva dovrà essere eseguita nel rispetto delle tempistiche d’intervento di cui all’art. 40 del presente Capitolato. 24 Art. 38 – Manutenzione adeguativa. Il Fornitore s’impegna a garantire l’adeguamento del sistema offerto in aderenza alle disposizioni internazionali, europee, nazionali, di indirizzo regionali e contrattuali relativi al servizio de quo, nonché l’aderenza degli apparati impiegati alle esigenze di servizio aziendali in termini di prestazioni e di affidabilità. Art. 39 – Manutenzione evolutiva. Il Fornitore, nella soluzione progettuale, dovrà indicare le modalità di gestione delle richieste del personale incaricato dell’Azienda Sanitaria, relative all’adeguamento del servizio rispetto all’evoluzione normativa in materia, nonché quelle che risultassero necessarie per una maggiore personalizzazione e funzionalità dello stesso. Il Fornitore pertanto, nell’espletamento del servizio, dovrà verificare l’efficacia dei sistemi ed adottare le misure suggerite dalla best practice, per la loro ottimizzazione e per il loro costante adeguamento, a quelle che sono i livelli di sicurezza informatica in funzione delle necessità dell’Azienda Sanitaria. CAPO VIII. PENALI. Art. 40 – Penalità. Il ritardo nell'attivazione del servizio di conservazione, secondo quanto previsto all'art. 9 “Avvio del servizio e collaudo”, salvo fatti o cause non imputabili al Fornitore, comporterà una penale di 2.000 € per ogni giorno di ritardo. Il ritardo nell'attività di presa in carico del pregresso, secondo quanto previsto all'art. 11 “Piano di migrazione dei dati verso il Cloud Computing”, a meno di cause non imputabili al Fornitore, comporterà una penale di 2.000 € per ogni giorno di ritardo. La mancata consegna del piano di continuità operativa e del piano di Disaster Recovery entro 70 giorni solari dalla comunicazione di aggiudicazione, ai sensi dell’art. 50-bis del Codice dell’Amministrazione Digitale e di quanto previsto nel presente Capitolato, comporterà l’applicazione di una penale pari a 2.000,00 euro per ogni giorno di ritardo. Per l’attività di help-desk e per le attività di assistenza e di manutenzione vengono specificati i seguenti Service Level Agreement (SLA) con le percentuali ed i tempi di intervento che dovranno essere rispettati dalla Ditta/RTI aggiudicatario. I tempi sono calcolati tutti dal momento della chiamata. I presenti SLA saranno adottati al momento del rilascio del sistema richiesto e dopo il suo collaudo positivo. Sarà valutata positivamente la proposta di livelli di servizio migliori rispetto a quelli richiesti. Tempo di chiusura delle problematiche (hardware e software) calcolato dall’apertura della segnalazione all’Help desk Codice Voce 1 L’intero servizio è indisponibile Tempo di risoluzione Entro 1 ora solare Penale Per ogni ora solare oltre 1 ora 1% dell’importo contrattuale annuo 25 2 3 Funzionalità critiche del servizio sono indisponibili Funzionalità non critiche del servizio sono indisponibili Entro 4 ore solari Per ogni 2 ore solari oltre le 8 ore Entro 24 ore Per ogni 8 ore solari solari oltre le 24 ore 1% dell’importo contrattuale annuo 1% dell’importo contrattuale Disponibilità del servizio di conservazione sostitutiva all’interno della finestra temporale pari al trimestre Periodo di osservazione Descrizione Formula Penale Trimestre (**) DSCS: L'indicatore viene misurato sottraendo dal tempo totale (numero di ore) della finestra di rilevazione di servizio nel periodo di riferimento (**) la durata totale delle indisponibilità (numero di ore e frazioni di ora); e rapportando tale differenza al tempo totale della finestra di servizio (**). I tempi di ciascuna indisponibilità si misurano in ore, minuti e secondi all'interno dell’arrotondamento della finestra temporale di servizio dell’help desk. Nel caso di indisponibilità segnalate dall'utenza, la loro durata viene misurata come l'intervallo tra l'istante in cui avviene la segnalazione del problema e l'istante in cui il problema viene risolto con riscontro positivo dell'utente. Fanno fede a tale proposito gli indicatori registrati dal sistema di monitoraggio del servizio descritto nell’art. 34 ed i riferimenti temporali registrati nel sistema di help desk descritto nell’art. 36. DSCS = 100 * (tempo_totale - durata_totale_indisponibilità) / tempo_totale 1% del valore contrattuale del servizio nel periodo di riferimento per ogni 0,1% in meno rispetto alla soglia del 98% del DSCS. I livelli di servizio e tutti i dati necessari per il loro calcolo (elenco dettagliato di tutte le segnalazioni ripartite per tipologia con data e ora di apertura e chiusura, log delle invocazioni del servizio e relativi tempi di risposta, log del sistema di monitoraggio del servizio ecc.) dovranno essere consultabili e scaricabili dall’ULSS per mezzo del sistema di monitoraggio (attivo 24 ore su 24) descritto nell’art. 34 “Presidio e Monitoraggio” e per mezzo del sistema di gestione trouble ticketing descritto nell’art. 36 “Servizio di help desk” forniti dall’aggiudicatario. La Ditta offerente dovrà dichiarare, rispettando i livelli sopra descritti, il tempo massimo di indisponibilità del sistema durante un anno solare riportando anche il massimo di ore consecutive di indisponibilità che viene assicurato. Qualora tale fermo superi le giornate dichiarate complessivamente considerate in un anno, o il numero di ore consecutive dichiarate, l’Azienda Sanitaria si riserva di applicare, per ciascuna ora di fermo aggiuntivo dei sistemi, una penale pari a € 200,00. I tempi dichiarati devono comprendere anche i periodi di fermo parziale del sistema eventualmente dovuti alla manutenzione programmata. Il mancato rispetto del cronoprogramma stabilito con l’Azienda Sanitaria per l’attivazione 26 dei servizi, per i casi non contemplati nel presente articolo, comporterà l’applicazione di una penale pari ad euro 1.000,00 per ogni giorno di ritardo. Art. 41. Applicazione delle penali. L’applicazione delle penali nei casi previsti dal presente Capitolato è notificata per iscritto dall’Azienda Sanitaria al Fornitore mediante lettera o fax. Entro 15 giorni dal ricevimento della predetta comunicazione il Fornitore dovrà inviare all’Azienda Sanitaria le proprie controdeduzioni e memorie scritte. L’Azienda Sanitaria, entro i successivi 15 giorni dal ricevimento delle controdeduzioni da parte del Fornitore, comunicherà le proprie valutazioni che, se negative, comporteranno (compresi i casi di mancato invio delle controdeduzioni nei termini suindicati) la detrazione dell’ammontare delle penali dalla quota dovuta al Fornitore. L’importo, pari alla somma addebitata per le singole contestazioni, potrà essere riconosciuto dal Fornitore, previo accordo con l’Azienda Sanitaria, anche mediante l’emissione di una nota di credito entro 30 giorni dal ricevimento della comunicazione di applicazione delle penalità. L’importo complessivo delle penalità applicate non potrà superare il 10% del canone annuale. La richiesta e/o l’applicazione delle penali non esime il Fornitore dal corretto e puntuale adempimento del servizio considerata la finalità di servizio pubblico essenziale cui è rivolta la fornitura. L’applicazione delle penali non preclude il diritto dell’Azienda Sanitaria di richiedere il risarcimento di eventuali ulteriori danni. TITOLO III. RESPONSABILITÀ CAPO I. RESPONSABILITA’ CONTRATTUALE. Art. 42 – Individuazione delle responsabilità. La Ditta aggiudicataria è responsabile nei confronti dell’Azienda Sanitaria dell’esatto adempimento delle prestazioni oggetto del presente Capitolato speciale. È altresì responsabile nei confronti dell’Azienda Sanitaria e dei terzi dei danni di qualsiasi natura, materiali o immateriali, diretti ed indiretti, causati a cose o persone e connessi all’esecuzione del contratto, anche se derivanti dall’operato dei suoi dipendenti e consulenti. Sarà altresì responsabile della mancata osservanza ad essa imputabile delle tempistiche e delle modalità procedurali per la conservazione sostitutiva dei documenti trasmessi, stabilite dalla normativa, dal presente capitolato e dagli allegati, e in caso di perdita o danneggiamento dei dati sottoposti a conservazione. È fatto obbligo della Ditta di mantenere l’Azienda Sanitaria sollevata ed indenne da richieste di risarcimento dei danni e da eventuali azioni legali promosse da terzi. Art. 43 – Incarico di Responsabile della conservazione e Responsabile di progetto del Cloud provider. Il Fornitore deve assumere l'incarico di Responsabile della Conservazione ai sensi della normativa vigente ed adempiere ai relativi obblighi. La Ditta appaltatrice dovrà altresì individuare un Responsabile del progetto incaricato di gestire la commessa che deve essere presente nelle ore di servizio e rapidamente rintracciabile 27 durante le altre ore della giornata, munito di ampia delega a trattare in merito a qualsiasi problema, che dovesse insorgere, in tema di esecuzione degli adempimenti previsti dal contratto d’appalto. Il Responsabile del progetto ha il compito di programmare, coordinare, controllare e far osservare al personale impiegato le funzioni ed i compiti stabiliti, di intervenire, decidere e rispondere direttamente riguardo ad eventuali problemi che dovessero sorgere in merito alla regolare esecuzione delle prestazioni appaltate ed all’accertamento di eventuali penali. Il Responsabile del progetto rappresenterà l’unico interlocutore riconosciuto dall’Azienda Sanitaria e dai suoi operatori essendo l’unica persona con cui dovrà relazionarsi il referente dell’Azienda Sanitaria per la gestione delle problematiche relative al servizio.Tutte le comunicazioni e contestazioni di inadempienza rilevate in contraddittorio con il Responsabile del progetto dovranno intendersi rivolte direttamente alla Ditta aggiudicataria. Il Responsabile del progetto per la Ditta aggiudicataria è tenuto al rispetto degli obblighi previsti dal Capitolato tecnico. Art. 44 - Brevetti e diritto d’autore. L’Azienda Sanitaria non assume alcuna responsabilità nel caso che la Ditta fornisca dispositivi e/o soluzioni tecniche di cui altri detengano la privativa. La Ditta aggiudicataria assumerà l’obbligo di tenere indenne l’Azienda Sanitaria da tutte le rivendicazioni, le responsabilità, perdite e danni pretesi da chiunque, nonché da tutti i costi, le spese e le responsabilità ad essi relativi a seguito di qualsiasi rivendicazione di violazione dei diritti d’autore o di qualsiasi marchio italiano o straniero, derivante o che si pretendesse derivare dalla prestazione. Ciascuna parte si obbliga a dare immediato avviso all’altra di qualsiasi azione di rivendicazione o contestazione di terzi di cui al precedente comma, della quale sia venuta a conoscenza. Art. 45 - Proprietà del software applicativo. Il diritto di proprietà e/o di utilizzazione e sfruttamento economico del software applicativo, unitamente agli elaborati prodotti, alle opere dell'ingegno, alle creazioni intellettuali, alle procedure software, creati, predisposti o realizzati dalla Ditta aggiudicataria nell'ambito o in occasione dell'esecuzione delle attività, oggetto dell’appalto, rimarranno di titolarità esclusiva dell’Azienda Sanitaria, che potrà quindi disporne senza alcuna restrizione. TITOLO IV. SPECIFICHE CONTRATTUALI. CAPO I. DISCIPLINA CONTRATTUALE. Art. 46 – Stipula e termine del contratto. A seguito di aggiudicazione definitiva sarà stipulato apposito contratto ai sensi e con le modalità previste dagli artt. 11 e 79 del D.Lgs 163/2006 e s.m.i.. Il contratto verrà stipulato in forma scritta entro 120 giorni dall’intervenuta efficacia dell’aggiudicazione definitiva. In caso di urgenza, il committente nelle more della stipula del contratto, può disporre, l’anticipata esecuzione dello stesso, ai sensi dell’art. 11 del D.Lgs. 163/06 e s.m.i. Tutte le spese e tasse, nessuna eccettuata, inerenti e conseguenti la gara e alla stipula del contratto, saranno a carico della Ditta aggiudicataria. In caso di urgenza il committente, nelle more della stipula del contratto, può disporre 28 l’anticipata esecuzione dello stesso ai sensi dell’art. 11 del D.Lgs. 163/06 e s.m.i. L’Azienda Sanitaria si riserva la facoltà di scorrere la graduatoria definitiva di gara, al fine di individuare il nuovo offerente affidatario nel caso in cui la Ditta appaltatrice, ai sensi del medesimo comma 9, dell’art. 11, del sopra citato Decreto Legislativo, si sciolga dal vincolo dell’aggiudicazione e, conseguentemente, non stipuli il contratto. L’Azienda Sanitaria si riserva la facoltà di scorrere la graduatoria anche nel caso in cui l’aggiudicatario receda dal contratto. La Ditta appaltatrice con la sottoscrizione del contratto si assume tutti gli obblighi di tracciabilità dei flussi finanziari previsti dalla L. 136/2010 ai sensi dell’art. 50 “Tracciabilità dei flussi finanziari”del presente Capitolato. La Ditta aggiudicataria, al termine della durata contrattuale, dovrà, senza oneri aggiuntivi, rilasciare i documenti e gli audit relativi, presenti sul proprio sistema di conservazione, alla Ditta subentrante che prenderà in carico la custodia del dato. Art. 47 - Deposito cauzionale definitivo. La Ditta appaltatrice, a garanzia dell’esatto e completo adempimento di tutti gli obblighi derivanti dal contratto, del risarcimento dei danni derivanti dall’inadempimento degli obblighi stessi, nonché del rimborso delle somme che l’Azienda Sanitaria abbia eventualmente pagato in più durante l’esecuzione della fornitura, dovrà costituire - presso l’Azienda Sanitaria ed entro 15 giorni dalla richiesta - un deposito cauzionale definitivo. L’ammontare del Deposito è pari al 10% dell’importo complessivo di affidamento, al netto dell’IVA, in base alle previsioni contenute nell’art. 113 del D.Lgs. 163/2006 e secondo le modalità in esso previste. In caso di aggiudicazione con ribasso d'asta superiore al 10%, la garanzia fideiussoria è aumentata di tanti punti percentuali quanti sono quelli eccedenti il 10%; ove il ribasso sia superiore al 20 per cento, l'aumento è di due punti percentuali per ogni punto di ribasso superiore al 20 per cento. La cauzione definitiva dovrà avere una validità di almeno 48 mesi. L'importo e' ridotto del cinquanta per cento per gli operatori economici ai quali venga rilasciata, da organismi accreditati, ai sensi delle norme europee della serie UNI CEI EN 45000 e della serie UNI CEI EN ISO/IEC 17000, la certificazione del sistema di qualità conforme alle norme europee della serie UNI CEI ISO 9000. Per fruire di tale beneficio l'operatore economico dovrà segnalare il possesso del requisito e lo dovrà documentare producendo copia dichiarata conforme all’originale ai sensi degli articoli 18 e 19 del D.P.R.445/2000 della certificazione de qua. Il deposito cauzionale definitivo è mantenuto nell’ammontare stabilito, secondo il dispositivo di cui al comma 3, dell’art. 113, del D.Lgs 163/2006, per tutta la durata del contratto e, pertanto, va reintegrato qualora l’Azienda Sanitaria medesima effettui su di esso prelevamenti per fatti connessi all’incompleto e irregolare adempimento degli obblighi contrattuali anche per quelli a fronte dei quali è prevista l’applicazione di penali: l’Azienda Sanitaria, fermo restando quanto previsto all’art. 40 “Penalità”, avrà diritto, pertanto, di rivalersi direttamente sulla deposito cauzionale per l’applicazione delle stesse. Ove la reintegrazione del deposito cauzionale non avvenga entro il termine di 15 giorni dal ricevimento della lettera di comunicazione dell’Azienda Sanitaria interessata, sorge in quest’ultima la facoltà di risolvere il contratto. Sono fatte salve le azioni per il risarcimento dei conseguenti danni subiti (art. 1382 c.c.). Il documento dovrà riportare la formale rinuncia al beneficio della preventiva escussione – art. 1944 del Codice Civile – nei riguardi dell’Impresa obbligata e la rinuncia all’eccezione di cui all’art. 1957, comma 2 del C.C. Se il deposito è costituito mediante polizza fideiussoria o atto di fidejussione, si dovrà, inoltre, inserire il formale impegno del fideiussore a pagare la somma garantita entro 15 giorni dal ricevimento di semplice richiesta scritta. Il deposito dovrà ritenersi svincolato, solo dopo l’esecuzione completa e regolare di tutti gli 29 obblighi contrattuali, fatto salvo quanto stabilito nel citato art. 113 del D.Lgs 163/2006. Nel caso di fornitura di beni, per cui sia previsto un periodo di garanzia, la cauzione definitiva sarà svincolata solo allo scadere del periodo di garanzia convenuto. In caso di ATI la polizza dovrà essere intestata alla Ditta Capogruppo, in qualità di mandataria del raggruppamento, e dovranno essere espressamente indicate tutte le ditte facenti parte dell'ATI. Art. 48 – Cessione del contratto e subappalto. E' vietata la cessione del contratto, salvo i casi di fusione, scissione, accorpamento o cessione di ramo d'azienda. Il subappalto è ammesso a condizione che la Ditta concorrente indichi in offerta le parti dell'appalto che intende eventualmente subappaltare a terzi nei limiti e secondo le modalità previste dall'art. 118 del D. Lgs. n. 163/2006. In particolare: - in sede di offerta i concorrenti dovranno indicare le parti di fornitura/servizio che intendono subappaltare. La mancata indicazione sta a significare che la Ditta non intende effettuare subappalto e comporta l'impossibilità per l'aggiudicatario di ricorrere al subappalto con conseguente obbligo dell'appaltatore di portare a termine in proprio tutta la fornitura/servizio aggiudicato; - l'appaltatore deve provvedere al deposito del contratto di subappalto presso l’Azienda Sanitaria almeno venti giorni prima della data di effettivo inizio dell'esecuzione del contratto. Al contratto dovrà essere allegata una dichiarazione circa la sussistenza o meno di eventuali forme di controllo o di collegamento a norma dell'art. 2359 del Codice Civile tra l'Impresa che si avvale del subappalto e l'impresa affidataria dello stesso. - in caso di R.T.I. tale dichiarazione deve essere effettuata da ciascuna delle imprese partecipanti; - al momento del deposito del contratto di subappalto, l'appaltatore deve trasmettere la certificazione attestante il possesso da parte del subappaltatore dei requisiti di qualificazione prescritti dal codice degli appalti in relazione alla prestazione subappaltata e la dichiarazione del subappaltatore attestante il possesso dei requisiti generali di cui all'art. 38 del Codice degli appalti. Il subappaltatore deve dichiarare di essere a conoscenza di tutte le clausole e condizioni previste dal contratto sottoscritto dall'appaltatore; - il pagamento sarà effettuato direttamente all'Appaltatore, previa acquisizione, da parte dell'appaltatore e del subappaltatore, del Documento Unico di Regolarità Contributiva (DURC) nonché di copia dei versamenti agli organismi paritetici previsti dalla contrattazione collettiva, ove dovuti. - la Ditta aggiudicataria deve praticare per le forniture affidate in subappalto gli stessi prezzi unitari risultanti dall'aggiudicazione, con ribasso non superiore al 20%. Gli eventuali oneri relativi alla sicurezza non sono soggetti a ribasso in sede di subappalto; - l'Appaltatore - e per suo tramite le Imprese subappaltatrici - trasmettono periodicamente all’ Azienda Sanitaria copia dei versamenti contributivi, previdenziali, assicurativi previsti dalla Legge; - la fornitura affidata in subappalto non può formare oggetto di ulteriore subappalto; - la partecipazione alla gara comporta di per sé l'esclusione dalla possibilità per i concorrenti di essere successivamente autorizzati ad assumere la veste di subappaltatori; - tutti i rapporti saranno intrattenuti con l'aggiudicatario. La responsabilità dell'esecuzione della 30 fornitura, ivi compresa la parte subappaltata, rimarrà tutta a carico dell'appaltatore. La Ditta appaltatrice si attiva, affinché nei contratti sottoscritti con i subappaltatori e i subcontraenti sia inserita, a pena della nullità assoluta, una apposita clausola con la quale ciascuno di essi si assume gli obblighi di tracciabilità dei flussi finanziari di cui alla L. 136/2010. La Ditta si impegna a fornire all’Azienda Sanitaria copia od estratto dei predetti documenti da cui si evinca il rispetto delle disposizioni in materia di tracciabilità. La Ditta appaltatrice e il subappaltatore che abbia notizia dell'inadempimento della propria controparte degli obblighi di tracciabilità finanziaria di cui all'art. 3 della L. 136/2010 procede all'immediata risoluzione del rapporto contrattuale, informandone contestualmente l'Azienda Sanitaria e la Prefettura – ufficio territoriale del Governo. Art. 49 – Fatturazione e pagamenti. Il pagamento del corrispettivo, sarà disposto, da parte dell’Azienda Sanitaria, su base trimestrale posticipata, a seguito della presentazione di regolare fattura. La fatturazione dei lotti di documenti amministrativi e sanitari e delle immagini Pacs, di cui al precedente art. 6 “Costo del servizio e volumi documentali”, terrà conto dei seguenti parametri: 1. invio in conservazione dei documenti amministrativi ed immagini (pregressi ed ordinari): addebito in fattura, per ciascun trimestre, al raggiungimento della soglia numerica di 500.000 documenti per singolo lotto; 2. invio in conservazione delle immagini (pregresse ed ordinarie): addebito in fattura, per ciascun trimestre, al raggiungimento della soglia di 1 TB di spazio per singolo lotto. L’addebito di ciascun lotto dovrà pertanto essere effettuato al solo raggiungimento dei limiti predetti.Non potranno pertanto essere addebitate all’Azienda Sanitaria frazioni numeriche documentali e/o di spazio inferiori alle soglie indicate ai punti 1 e 2. Al termine del contratto, le frazioni numeriche documentali e/o di spazio non ancora fatturate, per il mancato raggiungimento delle soglie di cui ai punti 1 e 2, verranno addebitate all’Azienda Sanitaria mediante apposita fatturazione (conguaglio) proporzionalmente al costo di un intero lotto. La Ditta aggiudicataria si impegna a segnalare con tempestività all’Azienda Sanitaria, nel corso del trimestre, una produzione anomala di documenti per una determinata categoria. Il pagamento delle fatture, sarà effettuato secondo le leggi e le prassi commerciali vigenti. Il pagamento delle stesse sarà effettuato purché il servizio sia stato regolarmente svolto, secondo quanto previsto dal presente Capitolato ed eventuali ulteriori specifiche contrattuali. Gli eventuali interessi di mora per ritardato pagamento, potranno essere corrisposti solo a seguito di formale richiesta scritta da parte della Ditta appaltatrice (art. 1219 c.c.), inviata con Raccomandata A.R. a decorrere dal 31 giorno successivo alla scadenza e saranno determinati secondo la vigente normativa in materia. In ogni caso il ritardato pagamento non potrà costituire motivo per interruzione della fornitura considerata la finalità di interesse pubblico del servizio in oggetto. L’Azienda Sanitaria a garanzia della puntuale osservanza delle clausole contrattuali, può sospendere, ferma restando l’applicazione delle eventuali penalità, i pagamenti alla Ditta appaltatrice cui siano state contestate inadempienze nell’esecuzione della fornitura, nella prestazione del servizio, o qualora sorgano contestazioni di natura amministrativa, fino a che non si sia posto in regola con gli obblighi contrattuali (art. 1460 cc.). 31 Art. 50 – Tracciabilità dei flussi finanziari. La Ditta appaltatrice si impegna a rispettare gli obblighi sulla tracciabilità dei pagamenti previsti dalla L. 136/2010. Per assicurare la tracciabilità dei flussi finanziari, prevista dall'art. 3 della L. 136/2010, la Ditta appaltatrice, i subappaltatori e i sub contraenti a qualsiasi titolo interessati dalla fornitura oggetto di appalto devono utilizzare conti correnti bancari o postali, accesi presso banche o presso la società Poste Italiane Spa, dedicati alle commesse pubbliche. Tutti i movimenti finanziari relativi al presente appalto saranno effettuati tramite bonifico bancario o postale, e saranno registrati sul/sui conto/i corrente/i dedicato/i indicato della Ditta. Gli strumenti di pagamento devono riportare, in relazione a ciascuna transazione posta in essere dall’Azienda Sanitaria, dall’Appaltatore e dai subcontraenti della filiera delle imprese, il codice identificativo di gara (CIG). La ditta pertanto dovrà compilare ed inviare via fax al numero 0423/526157 o via email all’indirizzo [email protected] l’apposito modulo per la comunicazione delle coordinate IBAN, scaricabile dal sito internet aziendale: www.ulssasolo.ven.it – sezione “Fornitori”. Art. 51 – Adesione di altre Aziende sanitarie della Regione Veneto. Nell’ottica di una razionalizzazione della spesa sanitaria in ambito regionale, ottenibile attraverso un’azione concertata tra Aziende Sanitarie per procedure di gara sovra-aziendali per l’approvvigionamento di beni e servizi, altre Aziende ULSS della Regione Veneto potranno sottoporre all’Azienda Sanitaria di Asolo una proposta per usufruire del servizio oggetto del presente Capitolato Speciale con la dichiarazione del fabbisogno presunto. Ai prezzi offerti verrà applicato uno sconto a seguito dell’adesione da parte di altre Aziende Sanitarie della Regione Veneto ed in ragione dei volumi contrattuali dichiarati e sottoscritti sulla base del fabbisogno di cui sopra. Lo sconto verrà applicato, a partire dal momento della nuova adesione, oltre alle nuove Aziende sanitarie aderenti, anche a tutte le Aziende ULSS che fino a quel momento già usufruivano del servizio secondo la griglia sotto indicata. L’Azienda ULSS n. 8 di Asolo, previa verifica ed accettazione di tale proposta, chiederà quindi alla Ditta aggiudicataria la disponibilità ad attivare il servizio oggetto del presente Capitolato in favore di ogni nuova Azienda sanitaria richiedente. La conferma di tale attivazione da parte della ditta aggiudicataria comporterà: 1)la sottoscrizione di apposita convenzione fra l’ULSS n. 8 di Asolo e la nuova Azienda sanitaria; 2) la definizione contrattuale diretta fra la ditta aggiudicataria e la nuova Aziende sanitaria; 3) la rideterminazione in diminuzione dei costi variabili di cui alle voci D ed H, dello schema all’art. 6 “Costo del servizio e volumi documentali”, di competenza dell’Azienda ULSS n. 8 di Asolo, della nuova Azienda sanitaria e delle eventuali altre Aziende ULSS che avevano aderito in precedenza, come da schema seguente: Soglie di documenti inviati in conservazione nel trimestre e relativo sconto (*) Documenti amministrativi e sanitari trimestrali (**) fino ad 1 lotto pari a 2 lotti Sconto sul prezzo del lotto di documenti voce D dell’art. 6 (Iva esclusa). Prezzo di aggiudicazione 2,5% 32 oltre a 2 fino a 4 lotti oltre 4 fino a 8 lotti oltre 8 lotti Immagini PACS trimestrali (***) fino a 3 lotti oltre a 3 fino a 6 lotti oltre a 6 fino a 10 lotti oltre 10 fino a 20 lotti oltre 20 lotti 5,0% 7,5% 10,0% Sconto sul prezzo del lotto di immagini voce H dell’art. 6 (Iva esclusa). Prezzo di aggiudicazione 2,5% 5,0% 7,5% 10,0% (*) da intendersi come somma dei volumi di tutte le aziende già aderenti più le nuove adesioni. (**) un lotto di documenti corrisponde a 500.000 documenti. (***) un lotto di immagini corrisponde ad un volume 1 TB calcolato non compresso. _______________________________________________________________________________________ Ai soli fini esemplificativi, per meglio comprendere l’applicazione della scontistica sopraindicata, si consideri il seguente esempio: Si suppone che i prezzi di aggiudicazione IVA esclusa del servizio, per quanto riguarda le voci di costo “D” ed “H”, siano i seguenti: - voce “D” - Messa in conservazione dei documenti e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) – euro 1.000,00 per ciascun lotto da 500.000 documenti; - voce “H” - Messa in conservazione delle immagini PACS e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) – euro 2.000,00 per ciascun lotto da 1 TB non compresso. Il contratto stipulato con la prima Azienda sanitaria, ULSS “A”, prevede i seguenti fabbisogni: - volume trimestrale di documenti amministrativi e clinici da contratto: 1 lotto; - volume trimestrale di immagini PACS: 2,5 lotti; Si suppone che, in un momento successivo, aderisca al servizio una nuova Azienda sanitaria, l’ULSS “B” che, in fase di stipula del contratto, dichiari i seguenti fabbisogni: - volume trimestrale di documenti amministrativi e clinici da contratto: 2 lotti; - volume trimestrale di immagini PACS: 3 lotti; I prezzi di aggiudicazione dovranno quindi essere scontati, per le due aziende sanitarie, nel modo seguente: - voce “D”: sconto del 5% rispetto al prezzo di aggiudicazione (tot. lotti 3 A+B); - voce “H”: sconto del 2,5% rispetto al prezzo di aggiudicazione (tot. lotti 5,5 A+B); dando luogo ai seguenti corrispettivi pagati dalle due aziende sanitarie alla ditta fornitrice: - voce “D”: euro 950,00 per ciascun lotto da 500.000 documenti; - voce “H”: euro 1.950,00 per ciascun lotto da 1 TB non compresso; Si suppone inoltre che, successivamente ai contratti stipulati dalle Aziende A e B, aderisca al servizio una ulteriore nuova Azienda sanitaria, l’ULSS “C” che, in fase di stipula del contratto, dichiari i seguenti fabbisogni: 33 - volume trimestrale di documenti amministrativi e clinici da contratto: 2 lotti - volume trimestrale di immagini PACS: 5 lotti; I prezzi di aggiudicazione dovranno quindi essere ulteriormente scontati, per le tre aziende sanitarie, nel modo seguente: - voce “D”: sconto del 7,5% rispetto al prezzo di aggiudicazione (tot. lotti 5 A+B+C); - voce “H”: sconto del 7,5% rispetto al prezzo di aggiudicazione (tot. lotti 10,5 A+B+C); dando luogo ai seguenti corrispettivi pagati dalle tre aziende sanitarie alla ditta fornitrice: - voce “D”: euro 925,00 per ciascun lotto da 500.000 documenti; - voce “H”: euro 1.850,00 per ciascun lotto da 1 TB non compresso. ________________________________________________________________________________ Il servizio decorrerà, per le nuove Aziende entranti, a partire dal primo giorno di ciascun trimestre dell’anno (1° gennaio, 1° aprile, 1° luglio,1° ottobre). Su richiesta di ciascuna Azienda Sanitaria, alle fatture dovrà essere unito un report in cui siano riportati i volumi di documenti e lo spazio di immagini complessivi relativi a tutte le Aziende sanitarie aderenti al servizio, di cui allo schema suindicato, da cui si evinca il calcolo effettuato per l’applicazione della scontistica. L’attivazione del servizio, secondo il paradigma del Public Cloud Computing, in favore delle nuove Aziende sanitarie, di cui al presente articolo, non è da intendersi quale “estensione” del contratto dell’Azienda ULSS n. 8 di Asolo, ma quale “contratto” stipulato dalla Ditta aggiudicataria con le singole nuove Aziende sanitarie, che adotteranno un proprio atto deliberativo. Ne consegue che l’importo dovuto per il servizio reso alle suddette nuove Aziende sanitarie dovrà essere direttamente e separatamente fatturato a ciascuna delle stesse. Tutte le disposizioni e le garanzie del presente Capitolato Speciale e del Disciplinare di Gara devono essere applicate anche nei contratti con altre Aziende sanitarie del Veneto, in quanto compatibili, nel rispetto del fondamentale principio del favor utentis cui si rivolge l’attività di un’amministrazione pubblica. Art. 52 - Coperture assicurative. La Ditta appaltatrice risponderà direttamente dei danni provocati all’Azienda Sanitaria nell’esecuzione del presente contratto che possano derivare da fatto proprio, dal personale o da chiunque sia chiamato a collaborare. L’Azienda Sanitaria è esonerata da ogni responsabilità per danni, infortuni o altro dovesse accadere al personale di cui si avvarrà la Ditta appaltatrice nell’esecuzione del contratto. La Ditta appaltatrice, pertanto, si impegna a stipulare una polizza RCT/RCO nella quale venga esplicitamente indicato che l’Azienda Sanitaria è considerata "terza" a tutti gli effetti. L’Assicurazione dovrà essere prestata sino alla concorrenza di massimali di garanzia non inferiori a € 5.000.000,00 per sinistro, per persona o cose ed inoltre garantisca le rivalse di qualsiasi Ente e/o dei dipendenti della Ditta appaltatrice per infortuni e/o malattie professionali con massimali di garanzia non inferiori a € 5.000.000,00 per sinistro e per ciascuna persona. La Ditta appaltatrice prima di iniziare il servizio dovrà inviare all’Azienda Sanitaria copia di detta polizza, unitamente alla quietanza di pagamento del premio. La quietanza di pagamento del premio dovrà essere presentata all’Azienda Sanitaria con la periodicità prevista dalla polizza stessa onde verificare il permanere della validità del contratto di assicurazione per tutta la durata del servizio. L'Azienda Sanitaria potrà risolvere il contratto in caso di mancata stipulazione della polizza, per la non conformità della stessa rispetto a quanto stabilito nel presente articolo o di mancato 34 pagamento del premio, tale da pregiudicare l’efficacia della copertura assicurativa (clausola risolutiva espressa, art. 1456 del Codice Civile). Art. 53 – Revisione dei prezzi. I prezzi offerti rimarranno fissi ed invariabili per il primo anno di fornitura. Decorso il primo anno dall’inizio della fornitura si potrà dar luogo ad adeguamento dei prezzi con le modalità di cui all’art. 115 del D. Lgs. 163/2006. In mancanza di costi standardizzati di cui all’art. 7 comma 4 lettera c) del D.Lgs. 163/2006 si terrà conto della variazione accertata dall’ISTAT dell’indice dei prezzi al consumo per le famiglie di operai ed impiegati. L’adeguamento diverrà operante a seguito di un’apposita istruttoria condotta sulla base dei dati e degli elementi di cui sopra e decorrerà, ove accettato, dal primo giorno del mese successivo alla data di ricevimento della richiesta formulata dalla ditta aggiudicataria.Tale richiesta di adeguamento dovrà pervenire all’Azienda ULSS n. 8 di Asolo a mezzo fax (si vedano i riferimenti di cui all’art. 59 del presente Capitolato). Gli adeguamenti non possono essere riconosciuti se non sono trascorsi almeno dodici mesi dal precedente. CAPO II. SCIOGLIMENTO DEL RAPPORTO CONTRATTUALE. Art. 54 - Recesso unilaterale. L’Azienda Sanitaria potrà recedere dal contratto ai sensi dell’art. 1373 c.c., così come previsto dall’art. 21- sexies L. 241/90, con preavviso di almeno 30 giorni, da comunicarsi alla Ditta appaltatrice con lettera raccomandata A.R. o via telefax. L’Azienda Sanitaria potrà altresì recedere dal contratto, in concomitanza con il servizio già avviato e svolto dalla Ditta, in caso di nuova aggiudicazione dovuta all’espletamento di una gara regionale o di area vasta. L’Azienda Sanitaria si riserva inoltre la facoltà di recedere dal contratto per sopravvenuti motivi di pubblico interesse, con preavviso di almeno 15 (quindici giorni), da comunicarsi con lettera raccomandata A/R. Dalla data di comunicazione del recesso, l’Appaltatore dovrà cessare tutte le prestazioni contrattuali, assicurando che tale cessazione non comporti alcun danno per l’Azienda Sanitaria assicurando altresì la continuità operativa con il fornitore subentrante. Art. 55 - Risoluzione del contratto. L’Azienda Sanitaria, in caso di inadempimento della Ditta appaltatrice agli obblighi contrattuali, potrà assegnare, con lettera raccomandata A.R. o telefax, un termine per adempiere non inferiore a 15 giorni dalla data di ricevimento della comunicazione. Trascorso inutilmente il predetto termine, il contratto si intende risolto. L’Azienda Sanitaria, avvalendosi della facoltà di cui all’art. 1456 del Codice Civile, potrà altresì risolvere il contratto, previa comunicazione scritta alla Ditta appaltatrice, con lettera raccomandata A.R. o telefax, nei seguenti casi: 1. frode nella fornitura del servizio; 2. grave e reiterata negligenza nell’esecuzione degli obblighi e delle condizioni contrattuali; 3. reiterati ritardi nella risoluzione e malfunzionamenti del sistema; 35 4. mancata reintegrazione del deposito cauzionale; 5. accertamento della non veridicità delle dichiarazioni presentate dalla Ditta appaltatrice nel corso della procedura di gara; 6. perdita, da parte del Ditta appaltatrice, dei requisiti richiesti dal bando di gara e dalla documentazione di gara, relativamente alle procedure ad evidenza pubblica; 7. cessazione dell’attività, fallimento; 8. sospensione ingiustificata del servizio anche per una sola volta; 9. subappalto non autorizzato; 10. mancato possesso dei requisiti in capo alla Ditta subentrante, qualora si verificasse una situazione di variazione soggettiva; 11. morte dell’imprenditore, quando la sua persona costituisca motivo determinante di garanzia del contratto e della sua esecuzione. 12. reiterate e gravi inadempienze contrattuali (almeno 2). 13. mancata notifica degli eventi, fatti ed accadimenti ai sensi dell’art. 20 “Continuità operativa (CO) del servizio”. Il contratto sarà altresì risolto di diritto nel caso in cui le transazioni che ne derivino vengano eseguite senza avvalersi di banche o della società Poste Italiane SpA, ai sensi dell’art. 3, comma 8, della l. 136/2010. Con la risoluzione del contratto sorge nell’Azienda Sanitaria il diritto di affidare a terzi la fornitura, la parte rimanente di questa, in danno all’Impresa inadempiente. Alla Ditta appaltatrice inadempiente sono addebitate le spese sostenute in più dall’Azienda Sanitaria rispetto a quelle previste dal contratto risolto. Le somme necessarie sono prelevate dal deposito cauzionale e, ove questo non sia sufficiente, da eventuali crediti d’impresa, fatto salvo il diritto dell’Azienda Sanitaria di agire per eventuali maggiori danni subiti. Nel caso di minor spesa nulla spetta alla Ditta inadempiente. L’Azienda Sanitaria potrà inoltre escludere dalla partecipazione ad ulteriori procedure di scelta del contraente l’impresa con la quale abbia precedentemente risolto un contratto per una delle circostanze previste dall’ art. 55 “Risoluzione del contratto” ai sensi dell’art. 1456 del Codice Civile. L’Azienda Sanitaria si riserva la facoltà di rivalersi degli eventuali danni, materiali e morali, subiti durante l’esecuzione del contratto soprattutto nel caso in cui le inadempienze dovessero comportare rischi per la salute degli utenti oppure determinare l’interruzione di pubblico servizio. In ogni caso di risoluzione anticipata del contratto, per qualsiasi motivo, l’Azienda Sanitaria, oltre a procedere all’immediata escussione della cauzione prestata dalla Ditta aggiudicataria, si riserva di chiedere il risarcimento dei danni subiti. Per quanto non previsto dal presente articolo si applicano le disposizioni di cui al Codice Civile in materia di inadempimento e risoluzione del contratto. TITOLO V. LEGISLAZIONE SUL LAVORO E RISERVATEZZA DEI DATI. CAPO I. PERSONALE DIPENDENTE. Art. 56 – Disposizioni generali. La Ditta aggiudicataria, in sede di esecuzione, deve avvalersi di proprio personale qualificato e/o specializzato della cui condotta è ritenuto responsabile in caso di danni, ritardi, errori e/o omissioni. Il nominativo e la qualifica del personale impiegato dalla Ditta per l’effettuazione delle 36 prestazioni contrattuali, deve essere tempestivamente comunicati all’Azienda Sanitaria prima dell’avvio dell’esecuzione contrattuale; in caso di sostituzione la comunicazione dei nominativi dovrà avvenire almeno con 2 giorni lavorativi di anticipo rispetto alla intervenuta sostituzione. L’Azienda Sanitaria si riserva la facoltà di chiedere la motivata sostituzione del personale della Ditta qualora quest’ultimo non consenta il buon svolgimento delle attività. Il personale opera sotto l’esclusiva responsabilità della Ditta anche nei confronti di terzi. La sorveglianza da parte dell’Azienda Sanitaria non esonera le responsabilità del Fornitore per quanto riguarda l’esatto adempimento dell’appalto né la responsabilità per danni a cose o persone. Il personale impiegato per il servizio dovrà possedere i requisiti sanitari ed amministrativi previsti dall’attuale legislazione e dovrà assoggettarsi alle precauzioni e misure di profilassi stabilite dai singoli Enti. Il personale della Ditta, durante l’espletamento del servizio, dovrà indossare e tenere in evidenza il cartellino di identificazione personale, riportante nome, cognome, fotografia nonché il nome della ditta di appartenenza. La Ditta, in sede di presentazione del progetto, dovrà comunicare il numero degli incaricati con relativa qualifica. - Contratto di lavoro. La Ditta Aggiudicataria, con riferimento ai propri dipendenti, s'impegna ad osservare ed applicare integralmente tutte le norme contenute nel contratto collettivo nazionale di lavoro per i dipendenti delle imprese del settore. Si impegna inoltre al rispetto degli accordi integrativi dello stesso, in vigore per il tempo e nelle località ove si trova la struttura logistica, anche dopo la scadenza dei contratti collettivi e degli accordi locali e fino alla loro sostituzione. La Ditta è obbligata altresì ad attuare, nei confronti dei propri dipendenti, occupati nelle prestazioni oggetto del contratto, condizioni retributive non inferiori a quelle risultanti dai contratti collettivi di lavoro applicabili, alla data del contratto, alla categoria e nella località in cui si svolgono le prestazioni nonché le condizioni risultanti da successive modifiche ed integrazioni ed, in genere, da ogni altro contratto collettivo successivamente stipulato per la categoria ed applicabile nella località. In caso di inottemperanza accertata, l’Azienda Sanitaria potrà provvedere direttamente impiegando le somme del canone d’appalto e della cauzione, senza che la Ditta aggiudicataria possa opporre eccezioni né avere titolo a risarcimento di danni. - Obblighi assicurativi. La Ditta Aggiudicataria è tenuta all’esatta osservanza delle norme legislative e regolamenti vigenti in materia di prevenzione degli infortuni sul lavoro e di assicurazioni degli operai contro gli infortuni, nonché delle assicurazioni sociali (invalidità, vecchiaia, disoccupazione, ecc.). - Altri obblighi. Il personale sarà chiamato a sottoporsi, con onere a carico della Ditta aggiudicataria, alle eventuali periodiche visite, vaccinazioni ecc. previste dalle vigenti norme sanitarie e la Ditta aggiudicataria dovrà produrre le relative certificazioni. Gli addetti hanno l’obbligo di attenersi a tutte le norme inerenti alla sicurezza sul lavoro di cui è direttamente ed esclusivamente responsabile la Ditta aggiudicataria. Il personale in servizio dovrà mantenere un contegno corretto e dovrà essere di assoluta fiducia e di provata riservatezza. La Ditta aggiudicataria si impegna a richiamare, sanzionare e, se del caso, sostituire i dipendenti che non osservassero una condotta irreprensibile. Le segnalazioni e le richieste 37 pervenute dai singoli Enti in questo caso saranno impegnative per la Ditta aggiudicataria. Per quanto non espressamente previsto nel presente Capitolato si rinvia alla normativa vigente in materia. CAPO II. RISERVATEZZA. Art. 57 - Trattamento e riservatezza dei dati in ambito Cloud. Ai sensi di quanto previsto dal D.Lgs n. 196 del 30/6/2003 e s.m.i in tema di trattamento di dati personali, le parti dichiarano di essersi preventivamente e reciprocamente informate, prima della sottoscrizione del contratto derivante dal presente Capitolato e della esecuzione del servizio, circa le modalità e le finalità dei trattamenti di dati personali. L’Azienda Sanitaria esegue i trattamenti dei dati necessari alla esecuzione del contratto e dei singoli ordinativi di fornitura, in ottemperanza ad obblighi di legge, ed in particolare per le finalità legate al monitoraggio dei consumi ed al controllo della spesa dall’Azienda Sanitaria. In ogni caso l’Azienda Sanitaria, aderendo al contratto con l’emissione dell’ordinativo di fornitura o con altre modalità, dichiara espressamente di acconsentire al trattamento e all’invio dei dati relativi alla fatturazione, rendicontazione e monitoraggio per le finalità connesse all’esecuzione della contratto e dei singoli ordinativi di fornitura, in particolare, per quanto riguarda il monitoraggio dei consumi e del controllo della spesa totale, nonché l’analisi degli ulteriori risparmi di spesa ottenibili. I dati saranno trasmessi anche per via telefonica e/o telematica dalla Ditta appaltatrice all’Azienda Sanitaria nel rispetto delle disposizioni di cui al D. Lgs. 13/05/1998, n. 171 e delle altre normative in vigore. I trattamenti dei dati saranno improntati ai principi di correttezza, liceità e trasparenza e nel rispetto delle misure di sicurezza. Con la sottoscrizione del contratto, le parti dichiarano di essersi reciprocamente comunicate tutte le informazioni previste dalla medesima normativa, ivi comprese quelle relative ai nominativi del responsabile e del titolare del trattamento e le modalità di esercizio dei diritti dell’interessato previste dal D. Lgs. 30/6/2003, n. 196. Si informa che i soggetti o le categorie di soggetti che potranno venire a conoscenza dei dati inerenti le offerte presentate sono: personale dell’Azienda Sanitaria implicato nel procedimento; i concorrenti che partecipano alla gara, ogni altro soggetto interessato ai sensi della legge 241/90. La Ditta si obbliga ad osservare e a far osservare la massima riservatezza su informazioni, documenti o altro tipo di materiale provenienti dall’Azienda Sanitaria o da altri soggetti coinvolti nell'espletamento del servizio; si obbliga, altresì, ad eguale riservatezza per tutti i risultati, anche parziali, elaborati in qualsiasi forma (cartacea, informatica, ecc.) della propria attività, salvo che l’Azienda Sanitaria ne indichi la diffusione, secondo le modalità giudicate più opportune. Con l’aggiudicazione del servizio la Ditta, a mezzo del proprio Rappresentante Legale, accetta la nomina quale Responsabile del trattamento, ai sensi dell’art. 29 del D.lgs 196/2003, che verrà formalizzata mediante apposito atto sottoscritto contestualmente alla stipula del contratto ai sensi dell’art. 46 “Stipula e termine del contratto”. - Riservatezza dei dati e subappalto. La Ditta, con la sottoscrizione del contratto, quale soggetto ricevente di dati nell’ambito del servizio offerto, assume il ruolo di “Importatore”, ai sensi della decisione della Commissione Europea 2010/87/UE, e pertanto sarà l’unico responsabile della sicurezza dei dati anche in caso di subappalto a terzi che comunque: 1. dovrà essere autorizzato per iscritto dall’Azienda Sanitaria (quale soggetto 38 “Esportatore”); 2. deve prevedere, per il subappaltatore, l’applicazione delle stesse clausole contrattuali che è tenuto a rispettare l’Importatore; 3. deve prevedere che l’Importatore invii una copia del contratto, siglato con il subappaltatore, all’Esportatore. La Ditta si impegna altresì al completo rispetto delle clausole contrattuali quale soggetto “Importatore” per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento Europeo e del Consiglio. TITOLO VI. DISPOSIZIONI FINALI CAPO I. ALTRI ADEMPIMENTI. Art. 58 – Documentazione da produrre. La Ditta dovrà produrre tutta la documentazione richiesta nel presente Capitolato Speciale di Appalto nonché quella elencata nel Disciplinare di gara, oltre a quanto sia ritenuto necessario per la corretta valutazione delle propria offerta. Deve essere inoltre prevista la fornitura durante l'intera durata del servizio: - di atti, manuali, linee guida e modulistica per il servizio e tutta la documentazione prevista dalla normativa; dei manuali dei corsi di formazione che verranno svolti ai vari livelli professionali interni dell’Azienda Sanitaria in fase di start up e ad ogni aggiornamento normativo significativo in materia. Art. 59 – Comunicazioni. Le comunicazioni concernenti l’esecuzione del contratto possono essere effettuate dall’Azienda Sanitaria sia a mezzo raccomandata A.R., sia a mezzo fax il cui ricevimento sarà attestato dal rapporto di trasmissione, sia a mezzo posta elettronica certificata, indirizzate – ove non espressamente indicata altra sede, per il procedimento di cui volta per volta si tratta – alla sede legale o con consegna diretta al rappresentante legale munito di idonea procura o ad un suo incaricato, attestata da apposita ricevuta firmata e datata. Le comunicazioni della Ditta appaltatrice possono essere effettuate dalla stessa sia a mezzo raccomandata A.R., sia a mezzo fax il cui ricevimento sarà attestato dal rapporto di trasmissione. Le comunicazione dovranno essere indirizzate a: Azienda ULSS n. 8 Asolo U.O. Provveditorato-Economato. Via Forestuzzo, 41 31011 Asolo (TV) Fax: 0423/526151 39 Art. 60 - Foro competente. In caso di controversie che determinino il ricorso all'autorità giudiziaria sarà competente esclusivo ed inderogabile il Foro della sede dell’Azienda Sanitaria, con applicazione della legge italiana, anche nel caso in cui l’infrastruttura utilizzata per l’erogazione dei servizi Cloud sia posta in ambito UE. Art. 61 - Norme di rinvio. Per quanto non previsto dal presente Capitolato Speciale si fa rinvio al Codice Civile ed alla disciplina normativa e regolamentare vigente in materia di appalti pubblici. 40
