Regione del Veneto - AZIENDA U.L.SS. N. 8 ASOLO
dipartimento risorse economiche e organizzative
unità operativa provveditorato/economato – responsabile: dott. Alberto Cendron
Capitolato Speciale per l’affidamento del
servizio di conservazione sostitutiva in Cloud
Computing dei dati clinici ed amministrativi
per l’Azienda ULSS n. 8 di Asolo.
INDICE GENERALE
TITOLO I. NORME GENERALI.
CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO.
Art. 1 – Oggetto del servizio.
Art. 2 – Aspetti generali ed obiettivi principali del servizio secondo il paradigma
del Public Cloud Computing.
Art. 3 – Requisiti normativi.
Art. 4 – Durata del servizio.
Art. 5 – Infrastruttura del servizio e geolocalizzazione del dato.
Art. 6 – Costo del servizio e volumi documentali.
TITOLO II. LIVELLI DI SERVIZIO.
(CLOUD SERVICE LEVEL AGREEMENT)
CAPO I. REQUISITI.
Art. 7 – Requisiti organizzativi.
Art. 8 – Requisiti tecnologici.
CAPO II. ARCHITETTURA TECNOLOGICA.
Art. 9 – Avvio del servizio e collaudo.
Art. 10 – Data center.
Art. 11 – Piano di migrazione dei dati verso il Cloud Computing.
Art. 12 – Interoperabilità dei dati in Cloud Computing.
Art. 13 – Portabilità dei dati in Cloud Computing.
CAPO III. FLUSSO DI CONSERVAZIONE.
Art. 14 – Macro-fasi del servizio in Cloud.
Art. 15 – Acquisizione dei documenti.
Art. 16 – Verifica di validità dei documenti.
Art. 17 – Apposizione della marcatura temporale.
Art. 18 – Invio in conservazione.
Art. 19 – Restituzione della marca temporale.
CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY.
Art. 20 – Continuità Operativa (CO) del servizio.
Art. 21 – Disaster Recovery (DR).
2
Art. 22 – Manutenzione della soluzione di Continuità Operativa e Disaster
Recovery.
Art. 23 – Test periodici della soluzione.
Art. 24 – Servizio di assistenza operativa.
Art. 25 – Disaster Recovery del RIS/PACS aziendale.
CAPO V. ALTRE SPECIFICHE.
Art. 26 – Funzione di esibizione.
Art. 27 – Confidenza del Cloud Provider dei processi clinico-sanitari
dell’organizzazione ospedaliera.
Art. 28 – Attività di consulenza.
Art. 29 – Formazione ed addestramento.
Art. 30 – Privacy Level Agreement (PLA).
Art. 31 – Servizi aggiuntivi e migliorativi.
CAPO VI. VERIFICHE.
Art. 32 – Audit dei processi.
Art. 33 – Tracciabilità.
Art. 34 – Presidio e monitoraggio.
Art. 35 – Sicurezza.
Art. 36 – Servizio di help desk.
CAPO VII. MANUTENZIONE.
Art. 37 – Manutenzione correttiva.
Art. 38 – Manutenzione adeguativa.
Art. 39 – Manutenzione evolutiva.
CAPO VIII. PENALI.
Art. 40 – Penalità.
Art. 41 – Applicazione delle penali.
TITOLO III. RESPONSABILITÀ.
CAPO I. RESPONSABILITÀ CONTRATTUALE.
Art. 42 – Individuazione delle responsabilità.
Art. 43 – Incarico di Responsabile della conservazione e Responsabile di progetto
del Cloud provider.
Art. 44 – Brevetti e diritto d’autore.
Art. 45 – Proprietà del software applicativo.
3
TITOLO IV. SPECIFICHE CONTRATTUALI.
CAPO I. DISCIPLINA CONTRATTUALE.
Art. 46 – Stipula e termine del contratto
Art. 47 – Deposito cauzionale definitivo.
Art. 48 – Cessione del contratto e subappalto.
Art. 49 – Fatturazione e pagamenti.
Art. 50 – Tracciabilità dei flussi finanziari.
Art. 51 – Adesione di altre Aziende sanitarie della Regione Veneto.
Art. 52 – Coperture assicurative.
Art. 53 – Revisione dei prezzi.
CAPO II. SCIOGLIMENTO DEL RAPPORTO CONTRATTUALE.
Art. 54 – Recesso unilaterale.
Art. 55 – Risoluzione del contratto.
TITOLO V. LEGISLAZIONE SUL LAVORO E RISERVATEZZA DEI DATI.
CAPO I. PERSONALE DIPENDENTE.
Art. 56 – Disposizioni generali.
-
contratto di lavoro.
obblighi assicurativi.
altri obblighi.
CAPO II. RISERVATEZZA.
Art. 57 – Trattamento e riservatezza dei dati in ambito Cloud.
-
riservatezza dei dati e subappalto.
TITOLO VI. DISPOSIZIONI FINALI.
CAPO I. ALTRI ADEMPIMENTI.
Art. 58 – Documentazione da produrre.
Art. 59 – Comunicazioni.
Art. 60 – Foro competente.
Art. 61 – Norme di rinvio.
4
TITOLO I. NORME GENERALI
CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO.
Art. 1 – Oggetto del servizio.
L’Azienda ULSS n. 8 della Regione Veneto, in prosieguo denominata anche “Azienda
Sanitaria”, si propone con la seguente procedura di acquisire un servizio di conservazione
sostitutiva, secondo il paradigma del Public Cloud Computing, dei dati amministrativi e sanitari
contenuti - a titolo esemplificativo e non esaustivo – nel dossier e nel fascicolo sanitario, nelle
cartelle cliniche e di referti ed immagini del RIS-PACS aziendale.
I quantitativi oggetto del presente appalto, che si intendono indicativi e pertanto legati
all’effettiva necessità dell’Azienda Sanitaria, sono espressi in dettaglio al successivo art. 6 “Costo
del servizio e volumi documentali” e potranno variare nei limiti e secondo quanto previsto dalla
vigente normativa.
Per la partecipazione alla gara sarà obbligatorio effettuare pena l’esclusione, da parte della
Ditta offerente, in prosieguo denominata anche “Fornitore”, un sopralluogo presso la struttura
informatica (U.O Informatica) dell’Azienda Sanitaria, finalizzato ad acquisire le conoscenze in
merito alla situazione esistente e le esigenze future relative alle procedure operative ed
amministrative di gestione ed ai protocolli informatici utilizzati nell’Azienda Sanitaria. Di tale
sopralluogo sarà redatta apposita attestazione.
La richiesta di presa visione e sopralluogo presso l’Azienda Sanitaria dovrà essere formulata
da un legale rappresentante e dovrà pervenire, pena la mancata accettazione della medesima, entro
35 giorni dalla data ultima di scadenza per la presentazione delle offerte, mediante fax a:
Azienda U.L.S.S. n. 8 Asolo – U.O. Provveditorato-Economato
Alla c.a. del dott. Mauro Pellizzari
e-mail: [email protected]
n. fax. 0423/526151 - n. tel. 0423/526159
indicando il nominativo ed i dati anagrafici della/e persona/e incaricata/e di effettuare la presa
visione ed il sopralluogo, tel., fax ed indirizzo e-mail c/o cui effettuare ogni comunicazione in tal
senso e/o comunque per gli accordi del caso.
Si precisa che al sopralluogo saranno ammessi:
• il legale rappresentante dell'impresa;
oppure, in alternativa,
• un incaricato della stessa, munito a tal fine di specifica delega.
L’importo a base d’asta, in lotto unico, per la fornitura del servizio è pari ad euro
450.000,00 (I.V.A. esclusa), per il periodo contrattuale di anni 3 (tre), soggetto a ribasso d’asta.
Tale somma è da intendersi quale tetto massimo di spesa, oltre il quale l’Azienda Sanitaria
non aggiudicherà la fornitura.
Si precisa che non sussistono rischi di interferenza ai fini della normativa e di conseguenza
non sono previsti costi relativi alla sicurezza relativi al DUVRI.
Le attività oggetto del presente appalto potranno essere ridotte in conseguenza di manovre di
contenimento della spesa sanitaria operate dallo Stato o dalla Regione Veneto o da altro Ente
pubblico preposto.
Nel caso sia necessaria l’integrazione parziale del servizio in oggetto o l’ampliamento dello
5
stesso, è consentito ricorrere alla Ditta appaltatrice per forniture complementari, ai sensi
dell’articolo 57, comma 5, del D.Lgs. 163/2006.
Art. 2 – Aspetti generali ed obiettivi pricipali del servizio secondo il paradigma
del Public Cloud Computing.
Il servizio dovrà essere svolto tenendo conto dei vari aspetti generali, economici, tecnologici
e giuridici che il paradigma del Public Cloud Computing presenta, per una sua applicazione clinica
e sanitaria, secondo le indicazioni della “Carta di Castelfranco” sul Cloud Computing in sanità:
(http://www.ulssasolo.ven.it/content/download/23098/146340/version/1/file/carta+castelfranco+a5+uk%2Bita.pdf)
La Ditta fornitrice si occuperà di applicazioni su processi clinici mediante la conoscenza, la
gestione ed il controllo dei processi diagnostico-terapeutici, la comprensione delle implicazioni
organizzative di un ambiente clinico, misurando necessariamente, al fine di una ottimizzazione del
servizio, il contenuto standard di quest’ultimo rispetto ad ospedali clienti ubicati in una regione
locale o mondiale. Le Ditte pertanto terranno conto della necessità di:
-
-
operare con una rete a banda larga ridondata, per la connessione tra strutture ospedaliere,
medici, cittadini e provider;
garantire l’interoperabilità con i sistemi ospedalieri intra-cloud, inter-cloud e sistemi cloud
con no-cloud, assicurando la portabilità dei dati nei casi di passaggio ad altro fornitore;
garantire la continuità operativa permanente della soluzione in Cloud;
specificare la policy di gestione per l’attività di salvataggio/backup dei dati clinici in cloud;
monitorare l’esclusione di ingerenze esterne nei dati clinici in cloud, consentendo sempre
l’accesso ai sistemi da parte delle autorità preposte;
operare con un’architettura di software e hardware capace di prevenire: lo smarrimento, la
perdita, la sottrazione dei dati clinici nonché la sospensione della continuità operativa e la
crisi di interoperabilità;
conoscere ed avere una buona confidenza con i processi clinici e l’organizzazione
ospedaliera;
supportare la struttura ICT ospedaliera nell’evoluzione verso competenze di service
management;
garantire la protezione, la gestione e la sicurezza dei dati clinici;
La Ditta fornitrice, mediante la combinazione tra e-health, quale complesso delle risorse,
soluzioni e tecnologie informatiche di rete applicate alla salute ed alla sanità, e tecnologie in Cloud
Computing, permetterà all’Azienda Sanitaria principalmente di:
-
-
avere un time-to-market più rapido per la garanzia di innovazione;
acquisire una scalabilità dinamica delle risorse impiegabili, in base alle mutevoli scelte di
lavoro;
garantire al personale individuato dall’Azienda Sanitaria di accedere in remoto alle
architetture di risorse hardware e software per la centralizzazione dell’archivio documentale
sia clinico-sanitario che amministrativo;
garantire l’economicità della gestione aziendale, dato che l’Azienda Sanitaria non dovrà più
farsi carico, nell’ambito del servizio de quo, dell’acquisto, della manutenzione e della
gestione dei macchinari e software configurati ed aggiornati secondo le mutevoli
disposizioni di legge superando, non solo le problematiche legate all’aggiornamento dei
sistemi, ma anche quelle legate all’aggiornamento formativo del personale interno
all’Azienda Sanitaria, la cui attività si focalizzerà pertanto sulla gestione del servizio e del
6
-
progetto con notevoli risparmi di tempo;
semplificare il workflow documentale clinico – amministrativo;
garantire un alto grado di controllo su dati, applicazioni e sistemi informativi nell’ambito
della privacy e della security;
garantire la centralizzazione dell’archivio sanitario con un’unica metodologia di accesso
alle informazioni on-line;
rispondere rapidamente ai fabbisogni improvvisi, non soddisfabili internamente all’Azienda
Sanitaria.
Art. 3 – Requisiti normativi.
Oltre alle norme generali dello Stato italiano, da considerare comunque come punti di
riferimento indispensabili per il progetto realizzato, ve ne sono alcune specifiche dell'ambito
sanitario, della gestione documentale digitale, della conservazione dei documenti nel tempo, della
sicurezza dei sistemi e della riservatezza dei dati personali durante il loro trattamento, che di seguito
si vanno a riportare in maniera esemplificativa e non esaustiva. La loro conoscenza appare
essenziale per meglio comprendere gli aspetti organizzativi, tecnologici e medico-giuridici
compresenti nel servizio richiesto:
-
Circolare Ministero della Sanità 19 dicembre 1986, n. 61
Circolare avente per oggetto il periodo di conservazione della documentazione sanitaria presso
le istituzioni sanitarie pubbliche e private di ricovero e cura
-
D.lgs 17 marzo 1995, n. 230
Attuazione nazionale delle Direttive Euratom nn. 80/836, 84/467, 84/466, 89/618, 90/641 e
92/3, in materia di radiazioni ionizzanti
-
DM 14.2.1997
Norma di attuazione del D.lgs n.230/95, "Determinazione delle modalità affinché i documenti
radiologici e di medicina nucleare e i resoconti esistenti siano resi tempestivamente disponibili
per successive esigenze mediche, ai sensi dell'art. 111, comma 10, del decreto legislativo 17
marzo 1995, n. 230"
-
D.lgs 26 maggio 2000, n. 187
Attuazione della direttiva 97/43/Euratom in materia di protezione sanitaria delle persone
contro i pericoli delle radiazioni ionizzanti connesse ad esposizioni mediche
-
Prontuario di selezione per gli archivi delle aziende sanitarie locali e delle aziende
ospedaliere, 2005
Atto di indirizzo che reca indicazioni sui tempi di conservazione dei documenti generati e/o
custoditi da Aziende Sanitarie pubbliche ed accreditate, redatto dal Ministero per i Beni e la
Attività Culturali
-
L. 15 marzo 1997, n. 59
Art.15, co.2: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati
con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro
archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti
di legge"
-
D.lgs 7 marzo 2005, n.82
Codice dell'amministrazione digitale e s.m.i
7
-
D.lgs 4 aprile 2006, n. 159
Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82, recante codice
dell'amministrazione digitale
-
Directive 1999/93/EC
of the European Parliament and of the Council of 13 December 1999 on a Community
framework for electronic signatures
-
DPR 28 dicembre 2000, n. 445
T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa
(TestoA), per le parti rimaste in vigore dopo le abrogazioni operate dal D.lgs n.82/05
-
DPCM 13 gennaio 2004 ( abrogato ) e sostituito dal DPCM 30 Marzo 2009 ( entrato in
vigore a fine Dicembre 2009 )
Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la
riproduzione e la validazione, anche temporale, dei documenti informatici
-
D.Lgs 30 dicembre 2010, n. 235
Modifiche ed integrazioni al decreto legislativo 7.3.2005, n. 82, recante Codice
dell’amministrazione digitale, a norma dell’art. 33 della legge 18.6.2009, n. 69. GU 10.1.2011
-
Deliberazione CNIPA 19 febbraio 2004, n.11
Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a
garantire la conformità dei documenti agli originali - Art. 6, commi 1 e 2, del testo unico delle
disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445
-
Deliberazione CNIPA 17 febbraio 2005, n. 4
Regole per il riconoscimento e la verifica del documento informatico
-
Decreto Ministero dell'Economia e delle Finanze 23 gennaio 2004
Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro
riproduzione in diversi tipi di supporto – linee guida per la dematerializzazione della
documentazione clinica in laboratorio ed in diagnostica per immagini.
-
D.lgs 30 giugno 2003, n. 196 e s.m.i
Codice in materia di protezione dei dati personali
-
Allegato B del D.lgs n.196/03
Disciplinare tecnico in materia di misure minime di sicurezza
-
Deliberazione Garante per la protezione dei dati personali 23 dicembre 2004, n. 14
Contributo spese in caso di esercizio dei diritti dell'interessato
-
Newsletter Garante per la protezione dei dati personali 27 febbraio 2005, n. 246
Accesso alle banche di dati, esibizione e diritti dei cittadini
-
EU Code of conduct for data centres
-
Nuove linee guida del Garante per la Privacy sui servizi Cloud
8
-
D. lgs 39/1993
Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche
-
D. lgs 163/2006
Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive
2004/17/CE e 2004/18/CE
-
D. lgs 177/2009
Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a
norma dell'articolo 24 della legge 18 giugno 2009, n. 69
-
D.P.R 207/2010
Regolamento di esecuzione ed attuazione del decreto legislativo 12 aprile 2006, n. 163
-
Allegato alla deliberazione del Comitato Direttivo di Digit PA n. 56 del 9 maggio 2012
Raccomandazioni e proposte sull’utilizzo del cloud computing nella pubblica amministrazione
-
Linee guida per il Disaster Recovery delle pubbliche amministrazioni ai sensi del comma
3, lett. b, dell’art. 50-bis del D.lgs n. 82/2005 e s.m.i (Digit PA)
-
Carta di Castelfranco
“Raccomandazioni per gli utenti di sanità digitale in cloud computing”
(http://www.ulssasolo.ven.it/content/download/23098/146340/version/1/file/carta+castelfranco+a5+uk%2Bita.pdf)
La Ditta, nel presentare il proprio progetto, dovrà far riferimento a tali norme e a quant'altre
ritengano necessarie, specificando in offerta tecnica, le caratteristiche del proprio sistema che vanno
a realizzare la rispondenza alle norme del sistema stesso.
Il servizio dovrà essere mantenuto costantemente aderente all'evolversi delle norme in
materia di conservazione sostitutiva di documenti clinici e amministrativi per tutta la durata del
contratto secondo il paradigma del Public Cloud Computing. Sarà dunque a completo carico del
Fornitore qualsiasi aggiornamento, modifica, revisione del sistema e delle procedure tecniche ed
organizzative che si dovessero rendere necessarie a fronte di variazioni normative.
La Ditta aggiudicataria dovrà provvedere a tutti gli adeguamenti normativi ed a tutte le
variazioni necessarie al mantenimento a norma del servizio e alla conformità alle regole tecniche di
riferimento internazionali, nazionali e regionali senza oneri aggiuntivi a carico dell’Azienda
Sanitaria per tutta la durata del presente appalto.
Art. 4 – Durata del servizio.
Il servizio dovrà essere fornito per anni 3 (tre). Qualora, prima della scadenza del contratto
d’appalto, non sia stato possibile individuare il nuovo aggiudicatario con procedura ad evidenza
pubblica, il contratto potrà essere prorogato per il tempo strettamente necessario per definire la
nuova aggiudicazione, nel corso del quale la Ditta aggiudicataria avrà l'obbligo di continuare il
servizio, alle condizioni convenute.
I primi 6 mesi di gestione del servizio saranno considerati periodo di prova, al termine del
quale l’Azienda Sanitaria potrà recedere dal contratto, con decisione motivata, qualora il servizio si
riveli non corrispondente a quanto richiesto dal Capitolato Speciale.
9
Art. 5 – Infrastruttura del Servizio e geolocalizzazione del dato.
Il nuovo servizio deve prevedere un'infrastruttura adeguata a garantire:
-
vertical scalability (incremento dei volumi);
horizontal scalability (incremento dei servizi da interfacciare);
continuità e fault tolerance;
aggiornamento tecnologico;
sicurezza fisica/logica;
Il servizio consiste nella conservazione a norma di legge dei documenti informatici prodotti
dall’Azienda Sanitaria, secondo quanto stabilito dalle norme vigenti ai sensi dell’art. 3 “Requisiti
normativi”, del presente Capitolato Speciale.
Il servizio sarà erogato secondo il paradigma del Public Cloud Computing e quindi il
Fornitore dovrà mettere a disposizione tutti gli strumenti e tecnologie, necessari per garantire
l'integrale rispetto della normativa e l'efficace ed efficiente interazione con i sistemi ed i servizi dell’
Azienda Sanitaria.
Il Fornitore dovrà presentare la descrizione di tale architettura al fine di dimostrarne
l'esistenza e la solidità.
La Ditta aggiudicataria si impegna a conservare tutti i documenti ricevuti in conservazione
con la diligenza richiesta dalle attività oggetto del presente capitolato.
La Ditta si impegna a non trasferire i dati oggetto del presente Capitolato Speciale
all’esterno dello Spazio Economico Europeo (SEE) e si impegna a garantire l’ubicazione e la
presenza sul territorio italiano o nell’ambito dell’UE dell’infrastruttura utilizzata per l’erogazione
dei servizi Cloud. Nel caso le infrastrutture siano collocate in un altro paese dell’UE, al contratto
dovrà comunque essere applicata la legge italiana ed, in caso di controversia, l’autorità giudiziaria
competente a conoscere della questione sarà quella italiana. Per altre modalità più estese di
circolazione dei dati si richiama quanto previsto nel documento di Digit Pa : “Raccomandazioni e
proposte sull’utilizzo del Cloud Computing nella pubblica amministrazione” del 9.5.2012;
paragrafo intitolato “Ambito di circolazione dei dati” pag. 35.
Art. 6 – Costo del servizio e volumi documentali.
Il costo riportato in offerta economica è da considerarsi onnicomprensivo di qualsiasi onere.
A titolo esemplificativo dovrà quindi tenere conto di eventuali costi di start-up del sistema,
adeguamenti di legge che potranno intervenire durante il periodo di vigenza del contratto, audit ed
esibizioni richieste dei documenti e quant'altro inerente il servizio oggetto dell'appalto.
Il costo riportato in offerta economica implica l'applicazione del servizio per l'intero ciclo di
vita del documento previsto dalle leggi vigenti e dai regolamenti dei singoli Enti, compatibilmente
con la durata contrattuale.
Il costo del servizio dovrà essere articolato secondo lo schema di seguito indicato e dovrà
essere computato in relazione ai fabbisogni indicati:
VOCE DESCRIZIONE
A
Documenti amministrativi e sanitari
Costi fissi:
Integrazione con sistema sorgente
documentali (dipartimentali, repository, etc)
UNITA' DI MISURA
n. sorgenti
QTA
(Fabbisogno
36 mesi)
13 sorgenti
10
n. lotti da 500.000
documenti
12 lotti
C
Canone di manutenzione per integrazione
con il sistema sorgente documenti
(dipartimentali, repository, etc.)
n. sorgenti
x
n. mensilità
13 sorgenti
x
36 mensilità
D
Messa in conservazione dei documenti e
gestione del servizio di conservazione
(omnicomprensivo di tutti i costi di
manutenzione, aggiornamento, ecc.)
n. lotti da 500.000
documenti
12 lotti
E
Immagini PACS
Costi fissi:
Integrazione sorgente PACS
Messa in conservazione dello stock di
immagini PACS pregresse
B
Messa in conservazione dello stock di
documenti pregressi
Costi variabili:
n. sorgenti
n. lotti da 1 TB non
compressi
1 sorgente
G
Canone di manutenzione per l’ integrazione
con sistema sorgente PACS
n. sorgenti
x
n.mensilità
1 sorgente
x
36 mensilità
H
Messa in conservazione delle immagini
PACS e gestione del servizio di
conservazione (omnicomprensivo di tutti i
costi di manutenzione, aggiornamento, ecc.)
n. lotti da 1 TB non
compressi
30 lotti
una tantum
1 attivazione
n. mensilità
36 mensilità
F
15 lotti
Costi variabili:
I
L
Replica remota PACS
Costi fissi:
Attivazione del servizio
Costi variabili:
Canone per la gestione del servizio di
disaster recovery PACS (omnicomprensivo
di tutti i costi di manutenzione,
aggiornamento, ecc.)
TITOLO II. LIVELLI DI SERVIZIO
(CLOUD SERVICE LEVEL AGREEMENT)
CAPO I. REQUISITI.
Art. 7 - Requisiti organizzativi.
La Ditta dovrà specificare dettagliatamente, in un documento apposito, il sistema di deleghe,
obblighi ed incarichi del servizio offerto, avendo cura di evidenziare ciò che resta in capo
all’Azienda Sanitaria e ciò che invece è di esclusiva responsabilità ed onere della Ditta offerente.
In tale documento la Ditta dovrà anche riportare l'organizzazione che l’Azienda Sanitaria
dovrà darsi al proprio interno per ottemperare alla vigenti disposizioni di legge in funzione del
11
servizio offerto.
La Ditta dovrà produrre una proposta di contratto di affidamento del procedimento di
conservazione sostitutiva in Cloud Computing che specifichi la modalità di svolgimento del servizio
e definisca la figura del "Responsabile del progetto" interno. La Ditta dovrà altresì produrre una
proposta di mandato di nomina del Responsabile della Conservazione Sostitutiva della Ditta relativo
al servizio de quo, ai sensi dell’art. 43 “Incarico di Responsabile della conservazione sostitutiva e
Responsabile di progetto del Cloud provider”.
Qualora durante il periodo di durata del presente appalto, siano richieste o si rendano
disponibili, a titolo obbligatorio e non, da parte di DigitPA o di enti terzi accreditati, certificazioni
della rispondenza alle norme, linee guida o regole tecniche del sistema di conservazione sostitutiva
fornito, la Ditta aggiudicataria dovrà, senza oneri aggiuntivi, provvedere alla certificazione del
sistema fornito.
Art. 8 – Requisiti tecnologici.
La Ditta offerente dovrà conservare i dati presso locali di cui abbia la piena disponibilità per
tutta la durata del contratto e dovrà altresì prendere in carico la custodia del dato fino alla scadenza
contrattuale, ai sensi dell’art. 51 del Codice dell’Amministrazione Digitale (D.lgs 82/2005).
La Ditta deve presentare e descrivere dettagliatamente le modalità di gestione e le politiche
di retency che intende adottare per le tipologie di documenti richiesti. La Ditta pertanto deve
descrivere dettagliatamente le modalità tecnico-organizzative di gestione dei documenti nell’arco
temporale della loro permanenza nel sistema di conservazione nonché le politiche e le modalità di
scarto dei documenti stessi a seconda delle tipologie riportate nel presente Capitolato.
Se tale indisponibilità sarà superiore al tempo dichiarato verranno applicate le penali di cui
agli artt. 40 e 41.
La Ditta deve descrivere altresì i livelli di sicurezza e riservatezza assicurati nonché i sistemi
tecnologici adottati a tale scopo allegando le eventuali certificazioni rilasciate da enti terzi e/o
produttori di attrezzature ed impianti, in merito alle procedure ed alle tecnologie utilizzate.
CAPO II. ARCHITETTURA TECNOLOGICA.
Art. 9 – Avvio del servizio e collaudo.
Il Fornitore deve garantire l’attivazione del servizio di conservazione dei documenti
amministrativi e sanitari entro 70 giorni dalla comunicazione di aggiudicazione.Per le immagini
PACS e per il Servizio di Disaster Recovery l’attivazione del servizio dovrà essere garantita dalla
Ditta aggiudicataria entro 140 giorni dalla comunicazione di aggiudicazione.
La transizione dal precedente Fornitore del servizio di conservazione non dovrà causare
alcun impatto negativo sui servizi dell’Azienda Sanitaria. A tale fine la Ditta aggiudicataria dovrà
pianificare, organizzare e specificare nell’offerta le attività di avviamento presentando un piano di
avviamento del servizio comprensivo di Gantt delle attività e di un piano per la valutazione dei
rischi.
Per attivazione del servizio di conservazione si intende la predisposizione di tutte le
procedure, attività, ruoli, funzioni propedeutiche per la fruizione del servizio da parte dell’Azienda
Sanitaria. In particolare, l’aggiudicataria dovrà eseguire tutti i test di integrazione con il sistema
informatico dell’ Azienda Sanitaria certificando la validità, l'integrità, la leggibilità dei documenti e
la loro corretta conservazione. La conclusione delle attività di avviamento sarà certificata da un
verbale di collaudo.
Per quanto riguarda il collaudo, la Ditta concorrente dovrà produrre, nell'offerta tecnica, uno
schema procedurale completo del test del servizio per gli aspetti funzionali e per le prestazioni in
12
relazione a quanto offerto.
Tale schema, che dovrà comprendere almeno le specifiche del servizio richiesto con il
presente appalto, dovrà essere comunque preventivamente approvato dall’Azienda Sanitaria. Le
Ditte concorrenti si impegnano ad accettare le modifiche allo schema di test eventualmente
richieste. La Ditta aggiudicataria si impegna ad adeguare tempestivamente il servizio per gli aspetti
che non superino il collaudo.
In caso di mancato superamento del collaudo, l’Azienda Sanitaria si riserva la facoltà di
addebitare al Fornitore i costi che dovranno essere sostenuti per effettuare nuovamente il test.
Art. 10. Data center.
I data center che ospitano e gestiscono l'insieme delle risorse hardware, software e gli
archivi dei documenti conservati nell'ambito del servizio in Cloud Computing devono essere
organizzati ed amministrati nel rispetto delle norme italiane ed europee sulle misure di sicurezza e
fornito di appositi sistemi di protezione logica e fisica al fine di impedire accessi non autorizzati.Al
personale incaricato dall’Azienda Sanitaria potrà essere consentito l'accesso ai data center per
verificare la qualità delle misure, delle procedure e delle tecnologie messe in atto al fine di
assicurare la sicurezza, l'integrità e la riservatezza ai propri documenti.
Il Fornitore si impegna a mantenere i dati clinici in data center situati in un Paese U.E con
garanzia di applicazione delle norme e della giurisdizione italiane/europee.
L'architettura deve garantire la completa continuità operativa attraverso opportune soluzioni
di business continuity e disaster recovery situate in siti secondari posti in altre sedi ad una distanza
di almeno 60 km rispetto ai data center che erogano il servizio.
La Ditta deve descrivere dettagliatamente il sistema hardware e software di conservazione
implementato presso il proprio data center e con il quale intende fornire il servizio esponendo
eventuali vantaggi che tale organizzazione sistemistica può offrire. In tale descrizione la Ditta dovrà
dichiarare il tempo massimo di indisponibilità del sistema durante un anno solare.
Art. 11 – Piano di migrazione dei dati verso il Cloud Computing.
Il Fornitore dovrà farsi carico dell’acquisizione in conservazione dello stock di documenti
ed immagini pregresso (conservato o non) dell’Azienda Sanitaria.La presa in carico del pregresso e
la messa in conservazione deve avvenire entro 6 mesi dalla disponibilità dello stesso.
L'acquisizione da parte del Fornitore dovrà essere fatta in modo da conservare le
indicizzazioni presenti, in modo da garantire la possibilità di ricerca e l'associazione refertoimmagine, di tale soluzione la Ditta fornirà apposite indicazioni documentali.
Art. 12 – Interoperabilità dei dati in Cloud Computing.
Il Fornitore dovrà garantire l’interoperabilità, intesa come “possibilità di un sistema di Cloud
di interagire con altri sistemi Cloud e non”, dei servizi erogati tra sistemi ospedalieri intra-cloud,
inter cloud e sistemi cloud con no-cloud ove esistenti.
L’infrastruttura del Fornitore dovrà garantire che i servizi Cloud possano essere trasferiti su
piattaforme di fornitori differenti ovvero possano eventualmente essere riportati all’interno
dell’organizzazione dell’Azienda Sanitaria senza alcun impatto e senza costi aggiuntivi.
13
Art. 13. Portabilità dei dati in Cloud Computing.
Il Fornitore dovrà garantire un servizio avente caratteristiche tecnologiche che diano
garanzia di portabilità dei dati nei casi di passaggio ad altro Fornitore, al termine del contratto, o per
altre cause di interruzione del rapporto contrattuale non preventivabili.
Il Fornitore deve documentare, all’interno della documentazione tecnica, la strategia, le
modalità di uscita e di assistenza, ovvero il processo di migrazione del patrimonio conservato verso
un diverso fornitore.
La strategia di migrazione dovrà pertanto essere descritta dal Fornitore in termini di:
1. modalità di esportazione dei dati;
2. modalità di distruzione dei dati presso il Fornitore con effetto su tutte le copie
presenti nel sistema specificando l’arco temporale in cui avverrà l’operazione.
Durante codesta fase di chiusura l'utenza non dovrà subire alcun peggioramento del servizio
erogato.
I requisiti di portabilità devono essere realizzati dal Fornitore attraverso l’adozione di
standard per i diversi elementi che compongono il servizio, quali ad esempio:
-
Cloud Data Management Interface (CDMI), che definisce le tipologie di interfacce che le
applicazioni dovranno usare per creare, recuperare, modificare e cancellare i data element
su un cloud (portabilità dei dati);
-
Open Virtualization Format (OVF), che definisce lo standard per la creazione e la
distribuzione delle macchine virtuali (portabilità dei sistemi).
Si evidenzia che in questo ambito gli standard possiedono differenti livelli di maturità e sono
in continua evoluzione, pertanto la Ditta si impegna a recepire i predetti standard conformemente al
loro grado di evoluzione.
Al fine di evitare situazioni di vendor lock in, al termine del contratto, il Fornitore avrà
altresì l'obbligo di mettere a disposizione dell’Azienda Sanitaria tutti i documenti correttamente
conservati nonché dovrà, in ogni caso, garantire l’opportuno affiancamento al fornitore subentrante
a seguito di nuova aggiudicazione sia nei casi previsti di risoluzione per inadempimento o recesso
anticipato da parte dell’Azienda Sanitaria.
CAPO III. FLUSSO DI CONSERVAZIONE.
Art. 14 – Macro-fasi del servizio in Cloud.
-
Il flusso di conservazione deve articolarsi nelle seguenti macro-fasi:
acquisizione dei documenti;
verifica di validità dei documenti;
apposizione della marcatura temporale;
invio in conservazione;
restituzione della marca temporale;
Inoltre deve essere prevista la gestione delle eccezioni in ogni punto del flusso.
Art. 15 – Acquisizione dei documenti.
Il sistema del Fornitore dovrà acquisire e conservare documenti clinici, immagini
diagnostiche e documenti amministrativi.
Documenti clinici: l'acquisizione deve avvenire mediante interfaccia diretta verso i sistemi
14
dipartimentali o verso il repository aziendale di consolidamento dei documenti, secondo quanto
stabilirà l’Azienda Sanitaria.
Le interfacce dovranno essere implementate nella modalità e secondo il protocollo più
opportuno per il sistema da integrare con tutta la flessibilità necessaria.
Il Fornitore deve garantire l’integrazione di nuovi sistemi qualora l'Azienda lo richieda nel
corso della fornitura.
Immagini diagnostiche: L'acquisizione delle immagini diagnostiche avverrà tramite
interrogazione del sistema PACS. L'acquisizione dovrà prevedere:
- acquisizione ed enumerazione di tutti gli oggetti DICOM facenti parte dello studio,
mediante QUERY DICOM verso il PACS;
- gestione delle modifiche degli studi;
- riconciliazione con i relativi referti.
Documenti amministrativi: L'acquisizione potrà avvenire mediante interfaccia ai sistemi
produttori o mediante acquisizione dei documenti esportati dei sistemi produttori in un'apposita area
di lavoro.
Nella documentazione amministrativa rientrano diverse tipologie di documenti quali, a titolo
esemplificativo e non esaustivo, testi deliberativi, determine, reversali, ordinativi ai fornitori,
mandati di pagamento nonchè il protocollo informatico.
La soluzione proposta dovrà necessariamente tenere conto che in prospettiva il volume dei
documenti interessati alla conservazione, nonché l’ambito di applicazione del servizio, potrebbe
ampliarsi.
Art. 16 – Verifica di validità dei documenti.
Il flusso di conservazione del Fornitore deve prevedere la presenza di una fase di verifica dei
documenti firmati. La verifica consentirà di garantire la correttezza della firma, la validità del
certificato usato per firmare e la validità del documento firmato secondo la normativa vigente. I
documenti che non rispondono a questo requisito saranno intercettati dal flusso e segnalati all'unità
competente nell'Azienda Sanitaria, mediante alert ed e-mail. I documenti che non hanno superato la
verifica saranno inoltre messi a disposizione su un'apposita console per la successiva gestione.
La funzione di verifica dovrà essere realizzata da una componente che potrà essere installata
presso l'Azienda.
Inoltre deve essere messa a disposizione anche una libreria client utilizzabile dalle
applicazioni aziendali sorgenti che permetta di verificare la validità (scadenza, revoca, sospensione
etc.) del certificato di firma.
La componente server dovrà essere configurata inizialmente in modo da gestire tutti gli Enti
Certificatori riconosciuti da DigitPA; se necessario, potrà essere configurata per riconoscere uno
specifico insieme di Enti Certificatori.
Il servizio dovrà operare con le firme digitali fornite nel progetto regionale FDCOS e deve
comunque garantire il riconoscimento dei documenti firmati attualmente dai dipartimentali delle
Aziende e dei certificati di firma esistenti in azienda.
Art. 17 – Apposizione della marcatura temporale.
Il servizio deve prevedere la marcatura temporale di ogni singolo documento clinico firmato.
La marcatura avverrà tramite accesso ad un servizio di marcatura tale da garantire un adeguato
tempo di risposta sui volumi gestiti dal servizio.
Il servizio dovrà essere predisposto in modo che l'istante della sottoscrizione digitale del
documento (evincibile dal signing-time) e l'istante di apposizione della marca temporale siano
estremamente ravvicinati, compatibilmente con i vincoli tecnici imposti dall'architettura del sistema
(bilanciamento del carico, code, tempo di risposta del servizio di marcatura, etc.). Tale attenzione
15
organizzativa rende improbabile che si verifichi una revoca o sospensione del certificato nel tempo
che intercorre tra l'istante di apposizione della firma e l'attività di consolidamento con la marca.
Art. 18 – Invio in conservazione.
Il servizio del Fornitore deve includere la conservazione dei documenti acquisiti secondo le
procedure stabilite dalla vigente normativa ai sensi dell’art. 3 “Requisiti normativi” del presente
Capitolato.
Art. 19 – Restituzione della marca temporale.
Il servizio del Fornitore deve prevedere, la possibilità di restituire al repository la marca
temporale apposta al documento (in modalità attached o detached) secondo le specifiche tecnico –
operative che saranno definite dall’Azienda Sanitaria.
CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY.
Art. 20 - Continuità operativa (CO) del servizio.
Il Fornitore dovrà presentare una soluzione tecnica che garantisca la continuità del servizio ai sensi dell’art. 50-bis del Codice dell’Amministrazione Digitale - intesa come piano d’insieme
delle procedure e soluzioni tecnico-organizzative, accorgimenti e delle misure di reazione e risposta
ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno
dell’organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle
funzioni istituzionali.
Il Fornitore inoltre indicherà i ruoli, le responsabilità degli amministratori di sistema, i
sistemi di escalation e le procedure per la gestione della continuità operativa, tenuto conto delle
potenziali criticità relative a risorse umane, strutturali e tecnologiche.
La soluzione progettuale dovrà indicare anche le modalità di gestione e risoluzione legate ad
eventi imprevedibili e di tipo calamitoso (incendi, allagamenti ecc) - con adeguata registrazione
degli stessi - e dei principali eventi potenzialmente dannosi per la sicurezza dei dati, che
manifestandosi subito nella loro gravità, comporteranno l’avvio del piano di continuità operativa.
La soluzione progettuale deve tener conto di altri scenari di rischio, quali quelli determinati da un
attacco di tipo terroristico o anche solo malevolo.
Il Fornitore è tenuto pertanto a notificare all’Azienda Sanitaria, in tutte le fasi di esecuzione
del servizio, gli eventi, i fatti ed accadimenti relativi a:
- incidenti;
- trasferimento dei dati;
- cambi di ruolo;
- accessi da parte delle forze dell’ordine.
La Ditta aggiudicataria, per nessuna ragione potrà sospendere o non eseguire, in tutto od in
parte, le attività oggetto del servizio.
Il servizio oggetto del Capitolato Speciale dovrà essere espletato con assoluta continuità
nelle 24 ore per tutta la durata del servizio e per il tempo necessario al passaggio ad eventuale altro
Fornitore - al termine del contratto o per i casi di cui agli artt. 54 “Recesso unilaterale” e 55
“Risoluzione del contratto” - fino a completo funzionamento delle attività oggetto del presente
Capitolato Speciale.
Per garantire la continuità operativa è indispensabile che sia assicurata all’Azienda Sanitaria
dal Fornitore, in proprio ovvero ricorrendo ad un prestatore di servizi ICT, il servizio di copia e
allineamento dei dati dei sistemi primari con i dati contenuti nei sistemi secondari. In quest’ultimo
16
caso il Fornitore sarà considerato garante, ai fini della responsabilità, dell’attività del terzo
prestatore di servizi.
L’Azienda Sanitaria si riserva di definire la cadenza temporale del servizio di copia dei dati,
tenuto conto del contesto tecnico operativo dell’Azienda Sanitaria e dei valori di RPO definiti dalla
stessa, nonché le modalità e il luogo di custodia delle copie di backup.
Le attività svolte dovranno essere rendicontate dal Fornitore mensilmente sulla base dei
livelli di servizio e degli obiettivi di RPO attesi, dando anche evidenza dei valori registrati.
Art. 21 – Disaster Recovery (DR).
Il Fornitore è tenuto a garantire che sia il sito che il piano e gli impianti di Disaster Recovery
(DR) siano stati organizzati e progettati tenendo conto delle esigenze di continuità e manutenibilità
dei data center, garantendo, per tutto l’arco temporale che lo impegna nei confronti dell’Azienda
Sanitaria, che abbia richiesto la fornitura, ovvero la messa a disposizione dei siti alternativi di DR:
-
-
-
l’assoluta sicurezza dei siti, ossia l’adozione di soluzioni in linea con lo stato dell’arte,
dell’evoluzione tecnologica e della normativa vigente al riguardo, assicurando la protezione
da accessi non autorizzati, la presenza di gruppi di continuità e accorgimenti che
garantiscano l’erogazione dell’elettricità senza interruzioni, la presenza di dispositivi
antincendio e anti-allagamento nonché il rispetto dei requisiti richiesti dall’Azienda
Sanitaria;
la fault tolerance (letteralmente tolleranza ai guasti) con possibilità di isolare l’apparato in
fault e provvedere alle riparazioni e/o alla sostituzione delle componenti guaste, senza
pregiudicare la continuità delle funzionalità e del servizio erogato;
la disponibilità a soddisfare le eventuali esigenze di crescita che fosse necessario
fronteggiare nel corso dell’erogazione dei servizi di DR.
Il Fornitore si impegna a predisporre le opportune misure di protezione fisica per proteggere
i dati, contenuti negli apparati storage dedicati alla soluzione di DR, da accessi non autorizzati.
Il Fornitore dovrà altresì, per tutto l’arco temporale che lo impegna nei confronti
dell’Azienda Sanitaria assicurare l’accesso ai siti alternativi di DR al personale dell’Azienda
Sanitaria per consentire, la verifica della costante adeguatezza del sito alla soluzione di DR richiesta
e il riscontro del rispetto dei requisiti definiti ai sensi degli articoli 1662 e 1665 del codice civile.
La verifica del rispetto degli obblighi connessi alla disponibilità gestione e manutenzione del
sito è considerata come un presupposto essenziale per il pagamento dei corrispettivi dovuti.
Il Fornitore garantisce, a suo carico, gli interventi e le attività di manutenzione ordinaria,
preventiva e correttiva nonché il costante aggiornamento tecnologico delle caratteristiche del sito,
senza oneri aggiuntivi per l’Azienda Sanitaria, essendo la disponibilità del sito con determinate
caratteristiche, un requisito minimo di servizio essenziale alla soluzione di DR.
Altre opzioni, varianti o situazioni che comportino cambi evolutivi per esigenze
dell’Azienda Sanitaria verranno apportate in linea con la normativa vigente in tema di appalti
(DLgs.. 163/2006 e s.m.i., e relativo regolamento di attuazione) ove se ne ravvisi la necessità.
Art. 22 – Manutenzione della soluzione di Continuità Operativa (CO) e di
Disaster Recovery (DR).
Il Fornitore si occuperà della manutenzione della soluzione di CO/DR e delle componenti
HW, SW e di rete che compongono la c.d. configurazione di emergenza.
La Ditta affidataria del servizio di CO/DR si occuperà di:
17
-
-
-
-
garantire i servizi per la riattivazione e il ripristino dei sistemi primari/di produzione in
presenza di un evento catastrofico, di una condizione di emergenza, di un disastro;
assicurare la disponibilità delle componenti HW e SW della configurazione di emergenza da
garantire all’Azienda Sanitaria;
pianificare adeguatamente le attività da svolgere per assicurare il funzionamento della
soluzione di CO/DR;
verificare costantemente nell’erogazione dei servizi la capacità della soluzione di DR di
rispondere efficacemente alle situazioni di emergenza;
verificare con l’Azienda Sanitaria il costante allineamento dei servizi, delle risorse, delle
componenti HW e SW, delle licenze SW necessarie alla soluzione di DR, rispetto
all’evoluzione del sistema informatico, della connettività e della struttura organizzativa
dell’Azienda Sanitaria;
supportare l’Azienda Sanitaria nel valutare l’adeguatezza degli accorgimenti e delle
procedure messe in atto per assicurare il ripristino dell’operatività, in occasione delle
verifiche e dei test periodici;
identificare ed attuare, ove possibile, senza impatti o cambiamenti nelle configurazioni e
negli ambienti del sistema informativo primario/di produzione dell’Azienda Sanitaria, le
eventuali misure di aggiornamento tecnologico, adeguamento e/o miglioramento di cui
emergesse la necessità nel corso dell’erogazione dei servizi per assicurare l’aderenza della
soluzione di CO/DR;
supportare l’Azienda Sanitaria nel verificare periodicamente la soluzione di DR attraverso
lo svolgimento delle previste sessioni di test.
Il Fornitore si impegna ad assicurare le attività di manutenzione HW e SW, al fine di
assicurare il rispetto dei tempi di risoluzione e ripristino previsti a fronte di malfunzionamenti e
anomalie di tutte le componenti messe a disposizione nell’ambito della soluzione di Disaster
Recovery, anche eseguendo le necessarie riparazioni e sostituzioni.
La verifica del rispetto degli obblighi connessi alla manutenzione della soluzione di DR e
delle componenti della configurazione di emergenza è considerata come un presupposto necessario
per il pagamento dei corrispettivi dovuti.
In prospettiva di una crescita fisiologica del S.I. dell’Azienda Sanitaria il Fornitore terrà
conto di eventuali esigenze di incremento ad es. dello spazio di storage, del numero dei server, della
capacità computazionale e dei canali di collegamento.
Art. 23 – Test periodici della soluzione
Il Fornitore si impegna a sottoporsi all’esecuzione di test periodici (almeno una volta
l’anno), per simulare il funzionamento dei siti di DR in caso di disastro dei siti primari, al fine di
verificare la corretta erogazione dei servizi e la costante adeguatezza della soluzione di DR e che sia
altresì assicurato il corretto ripristino del funzionamento del sistema informativo dell’Azienda
Sanitaria.
Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l’Azienda
Sanitaria nell’effettuare i test periodici previsti per la verifica della corretta funzionalità delle
soluzioni adottate per garantire la soluzione di Disaster Recovery, del sistema informativo primario
dell’Azienda Sanitaria, ed assicurare che i servizi erogati vengano costantemente mantenuti allineati
all’evoluzione dell’architettura e dei servizi.
Il Fornitore dovrà predisporre il test al fine di simulare una “vera” condizione di
emergenza/di indisponibilità prolungata e, al fine di non rischiare di compromettere i dati di
produzione per l’effettuazione delle simulazioni, dovrà predisporre copie dei dati ad uso esclusivo
della simulazione che saranno cancellate al termine delle prove. L’avvenuta cancellazione di dette
copie dei dati sarà verificata in contraddittorio dalle parti nei modi e tempi che saranno indicati.
18
Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l’Azienda
Sanitaria nel verificare e testare le procedure formalizzate per garantire, in condizioni di
funzionamento normale dei sistemi primari, le operazioni di allineamento.
Il Fornitore si impegna a mettere a disposizione strumenti per facilitare la gestione e la
conduzione del test anche da remoto.
Il Fornitore, nell’effettuazione dei test periodici di Disaster Recovery, dovrà simulare uno
scenario che prevede l’indisponibilità di tutte le apparecchiature del sito primario e il ripristino nel
sito di DR dell’infrastruttura ICT necessaria al riavvio del sistema informativo colpito dalla
situazione di emergenza/disastro.
L’effettuazione del test verrà concordato con l’Azienda Sanitaria.
Il test potrà essere articolato secondo le seguenti macro fasi, da definire operativamente
nella documentazione annessa al Piano di DR, che verrà inserito dalla Ditta nella soluzione
progettuale:
1. messa a disposizione e verifica di tutta la documentazione procedurale e tecnica connessa ai
servizi di DR;
2. attivazione e ripartenza dei sistemi nel sito di DR;
3. verifica delle funzionalità di base degli ambienti elaborativi;
4. verifica dell’allineamento e della congruità dei dati tra i siti primari ed i siti di DR;
5. verifica dell’operatività dell’infrastruttura di rete;
6. verifica della corretta distribuzione delle rotte IP tra gli apparati di rete;
7. verifica connettività tra il sito di DR e i siti primari;
8. attivazione dei sottosistemi applicativi;
9. test applicativi.
Al fine di verificare la rispondenza delle caratteristiche di affidabilità delle infrastrutture del
data center, durante i test si potrà richiedere la simulazione della indisponibilità dell’infrastruttura
tecnologica.
Al termine del test il Fornitore redige e sottopone all’accettazione dell’Azienda Sanitaria il
verbale del test e il documento di tracciatura dell’esito delle prove effettuate.
L’accettazione/approvazione degli esiti del test è necessario ed è considerato come un
presupposto essenziale ai fini del pagamento dei corrispettivi dovuti.
Nel caso in cui il test non dovesse dare esito positivo il Fornitore si impegna a ripetere il test
in accordo con l’Azienda Sanitaria, si impegna altresì a risolvere le criticità evidenziate, restando a
suo carico ogni onere derivante dalle predetta attività comprese le responsabilità da ciò derivanti.
Art. 24 – Servizio di assistenza operativa.
Il Fornitore assicura per tutta la durata del contratto, un servizio di assistenza operativa al
fine di garantire la presenza di un adeguato supporto e il presidio, la gestione e la manutenzione
delle soluzioni adottate.
A tal fine l’Azienda Sanitaria richiede al Fornitore di provvedere ad assicurare la presenza
di idoneo e qualificato personale a presidio dell’infrastruttura e delle apparecchiature dedicate alla
soluzione di Disaster Recovery garantendo principalmente:
-
il presidio, la gestione e la manutenzione delle infrastrutture dedicate alla soluzione di
Disaster Recovery;
la manutenzione della soluzione realizzata;
l’assistenza operativa in condizioni normali e di emergenza e durante l’esecuzione dei test
periodici previsti per la verifica del corretto funzionamento delle procedure di DR e del
corretto dimensionamento delle componenti connesse alla soluzione di Disaster Recovery;
19
-
il monitoraggio e la gestione delle risorse al fine di mantenere e ottimizzare i livelli di
servizio;
la verifica del costante allineamento fra le copie dei dati del sito di Disaster Recovery e i
dati del sistema informativo primario;
la rendicontazione (che può essere richiesta a seconda delle esigenze dell’Amministrazione
con cadenza giornaliera, settimanale, mensile, trimestrale ecc.) dei livelli RPO riscontrati;
la definizione e il costante adeguamento delle procedure di Disaster Recovery;
la disponibilità della configurazione di ripristino in caso di emergenza in accordo con i
livelli di servizio;
la predisposizione e l’aggiornamento del Piano di Disaster Recovery nonché della relativa
documentazione e manualistica;
il supporto e l’assistenza per assicurare il ripristino della normalità dalla condizione di
emergenza e la ripresa dell’operatività del Sistema Informativo Primario;
le attività per riportare i dati e le configurazioni dei sistemi dal sito di DR, al sito primario,
secondo quanto previsto nel Piano di Disaster Recovery.
Il Fornitore avrà il compito di assicurare il corretto funzionamento dei sistemi installati
presso il sito di DR sia quando il sito primario dell’Azienda Sanitaria opera in condizioni di
normale operatività sia per garantirne l’effettiva disponibilità durante le fasi di test e in condizioni
di emergenza.
Il servizio di assistenza operativa deve comprendere essenzialmente le attività di presidio
per la gestione operativa di tutti i sistemi ospitati nel sito di Disaster Recovery.
Il servizio verrà fornito nelle finestre temporali che l’Azienda Sanitaria riterrà necessarie in
considerazione della soluzione scelta.
Durante il periodo di emergenza, il Fornitore dovrà assicurare l’assistenza operativa ed il
presidio a supporto del personale dell’Azienda Sanitaria, è comunque responsabile della conduzione
in esercizio dei sistemi, eventualmente anche tenuto conto, ove richiesto, dello skill e del mix di
risorse professionali che l’Azienda Sanitaria stessa avrà richiesto e stabilito, in considerazione del
dimensionamento effettuato.
Il Fornitore garantirà il corretto funzionamento della configurazione di Disaster Recovery
nonché le funzionalità di monitoraggio e gestione degli allarmi relativi:
- alle risorse HW e SW di base dei sistemi (dischi, memoria, processori, connessione di rete,
SAN Fabric ecc.) connessi alla soluzione di DR adottata;
- allo stato dei prodotti di gestione del mirroring e backup;
- alla connettività tra i sistemi del sito primario e del sito di DR;
- il monitoraggio di tutte le funzionalità di mirroring;
- la pianificazione operativa delle attività schedulabili;
- la gestione delle risorse di sistema al fine di mantenere e ottimizzare i livelli di servizio;
- la fornitura dei deliverable e rendicontazioni previste.
Art. 25 – Disaster recovery del RIS-PACS aziendale.
Il Fornitore deve mettere a disposizione un servizio di replica remota del PACS (Disaster
Recovery). Tale servizio, che dovrà insistere sullo stesso storage utilizzato per la conservazione
delle immagini, si configura come una replica di sicurezza del PACS. In caso di connettività
adeguata tale sistema potrà essere utilizzato per la Recovery immediata o parziale dell’Archivio
PACS, garantendo un RPO non superiore a 48 h.
Il sistema dovrà prevedere un servizio di consultazione web dei dati replicati utilizzabile a
fronte di disservizio del sistema principale in azienda.
Il servizio deve inoltre implementare un XDS Repository per le immagini compatibile con
le specifiche del progetto di fascicolo regionale. In particolare dovrà essere supportato il profilo
20
Cross-Enterprise Document Sharing for Imaging (XDS-I.b).
L'architettura proposta, i modelli di sicurezza adottati e la modalità di utilizzo dello storage
unificato saranno oggetto di valutazione tecnica.
Il servizio deve essere realizzato in modo da consentire l'ulteriore eventuale
implementazione di funzioni di visualizzazione diagnostica sui dati replicati, erogata con software
Medical Device di classe IIa (Direttiva 93/42/EEC e emendamenti successivi).
CAPO V. ALTRE SPECIFICHE.
Art. 26 – Funzione di esibizione.
La Ditta offerente deve fornire un servizio di Esibizione della documentazione su supporto
digitale e/o analogico che soddisfi i requisiti dell'articolo 6, Deliberazione CNIPA N. 11/2004
"Obbligo di esibizione".
Il servizio deve pertanto prevedere specifiche funzioni di esibizione dei documenti
conservati, che prevedano:
- ricerca del referto/documento per parametri incrociati (nome, cognome, data, codice fiscale
ecc);
- esibizione da remoto con funzioni di validazione degli oggetti esibiti;
- export delle immagini in formato ISO contenente DICOM oppure completo (incluse le
evidenze di conservazione);
- rettifica, sostituzione, cancellazione logica, scarto dei documenti e delle relative
informazioni, operazioni che per la loro delicata natura devono sempre essere
opportunamente tracciate nel sistema di conservazione.
La funzione di ricerca e visualizzazione deve essere disponibile su interfaccia web agli
utenti abilitati. Il sistema deve implementare un'adeguata gestione degli accessi. Il form web di
ricerca dovrà essere costruito dinamicamente in base alle caratteristiche della classe documentale di
riferimento, per l'inserimento di tutti i parametri sui quali effettuare la ricerca.
Il sistema deve prevedere la consultazione per Unità Operativa dell’Azienda Sanitaria e per
tipologia di documento.
Le funzioni di ricerca e di esibizione devono essere possibili anche per mezzo di opportuni
web service che consentano di realizzare l'interoperabilità con i sistemi informativi dell’Azienda
Sanitaria.
Il documento conservato deve essere reso leggibile in qualunque momento e disponibile, a
richiesta, su supporto cartaceo. Il documento conservato può essere esibito anche per via telematica.
La Ditta aggiudicataria, per tutta la durata del contratto, dovrà garantire, senza oneri
aggiuntivi, l'aggiornamento alle norme e/o regolamenti che andranno a modificare la valenza del
documento da esibire.
Le Ditte devono presentare e descrivere dettagliatamente, le modalità di esibizione che
intendono adottare per le tipologie di documenti richiesti.
Art. 27. Confidenza del Cloud Provider con i processi clinico – sanitari e
dell’organizzazione ospedaliera.
Il Fornitore presenterà, nella soluzione progettuale, un capitolo atto a dimostrare il livello di
confidenza raggiunto relativo ai processi clinico-sanitari ed organizzativi tipici di un’azienda
sanitaria.
21
Il progetto dovrà pertanto tener conto dei seguenti aspetti:
-
conoscenza, formazione, gestione e controllo dei processi diagnostico – terapeutici
ospedalieri;
comprensione delle implicazioni organizzative che il servizio in oggetto ha di un
ambiente clinico;
capacità di confronto e benchmarking – inteso come miglioramento dell’efficienza delle
prestazioni mediante servizi Cloud – fra ospedali ed aziende sanitarie italiane e/o di altri
stati.
Art. 28 – Attività di consulenza.
Il Fornitore deve garantire l'attività di consulenza necessaria a:
− supportare l'aggiornamento del Manuale di gestione dei flussi documentali dell’Azienda
Sanitaria;
− rispondere a quesiti di natura tecnico-legale che dovessero sorgere nell'ambito della
fornitura.
Art. 29 - Formazione ed addestramento.
La Ditta concorrente dovrà fornire e dettagliatamente descrivere un adeguato piano di
formazione e addestramento per tutto il personale interno dell’Azienda Sanitaria che sarà coinvolto
nella gestione del servizio per ottemperare alla vigenti disposizioni di legge in funzione del servizio
offerto. Dovranno essere riportate le figure interessate e la specifica formazione prevista.
Durante il periodo di vigenza del presente appalto la Ditta aggiudicataria dovrà garantire
adeguato aggiornamento formativo, anche in relazione ad eventuali evoluzioni della normativa
vigente, alle figure interne dell’Azienda Sanitaria.
I corsi di formazione dovranno essere tenuti presso le sedi dell’Azienda Sanitaria, con orario
e calendario tale da non intralciare la normale attività lavorativa del personale coinvolto.
In offerta dovrà essere chiaramente indicato il piano di formazione specifico per ogni profilo
professionale ed il numero di giornate previste sia per la formazione che per l’avviamento del
sistema.
Art. 30. Privacy Level Agreement (PLA).
La Ditta deve garantire altresì la completa aderenza ed il rispetto della normativa vigente
sulla privacy in ambito sanitario e delle sue successive evoluzioni per tutta la durata del contratto.
La Ditta deve infine:
-
dimostrare l’adozione di opportuni sistemi di cifratura sia in fase di storage che in fase di
comunicazione secondo standard ISO;
dimostare, attraverso esplicite garanzie, il mantenimento di un adeguato livello di tutela dei
dati personali da parte degli incaricati, responsabili esterni e sub-fornitori;
fornire modalità di controllo all’Azienda Sanitaria attraverso report periodici sulla
tracciabilità delle azioni svolte dai vari soggetti sui dati al fine di poter ricostruire le relative
responsabilità.
22
Art. 31 – Servizi aggiuntivi e migliorativi.
Saranno valutati positivamente ulteriori servizi aggiuntivi e/o migliorativi che la ditta vorrà
proporre che non dovranno comunque comportare alcun costo aggiuntivo per l’Azienda Sanitaria.
CAPO VI. VERIFICHE.
Art. 32 – Audit dei processi.
Il sistema-servizio proposto dovrà effettuare un continuativo e metodico processo di auditing
al fine di monitorare ogni aspetto della gestione quotidiana del sistema informatico, in termini di
accesso, di operazioni effettuate, di documenti prodotti (ed eventualmente sottoscritti), di documenti
consultati, ecc.
L'audit andrà effettuato su ogni componente del sistema informativo coinvolta nella
formazione del singolo documento, a partire dal Sistema Aziendale e dovrà essere conservato
assieme al documento stesso in modo da garantirne la sua valenza clinica/amministrativa e
l'impossibilità di azione illecite sul documento stesso.
La Ditta deve descrivere dettagliatamente, il metodo e i sistemi di tracciamento dell'audit di
formazione del documento clinico ed amministrativo proposti.
La Ditta dovrà altresì effettuare una revisione dettagliata sulle proprie attività di controllo,
incluso l’IT ed i processi ad esso correlati, nel rispetto dello Statement on Auditing Standards (SaaS
70).
Art. 33 – Tracciabilità.
Tutti gli eventi, compresa l’attività di consultazione, dovranno essere registrati dal sistema,
garantendo la completa tracciabilità di ogni operazione. Gli utenti abilitati a tale funzione potranno
in ogni momento visualizzare da interfaccia le registrazioni di tracciabilità.
Il servizio deve prevedere la tracciatura delle operazioni eseguite, sia da parte dell'utente
esterno (invio in conservazione, modifica, esibizione, cancellazione, ecc.) sia dalle procedure
interne (firma del responsabile della conservazione, marcatura temporale, test di lettura,
riversamento, ecc.).
Art. 34 – Presidio e monitoraggio.
Il servizio fornito dalla Ditta deve prevedere una funzione di monitoraggio dei flussi di
conservazione con le seguenti caratteristiche:
-
console di monitoraggio degli oggetti in lavorazione;
funzioni di gestione manuale delle anomalie (cestino);
segnalazione e-mail di errori, anomalie;
statistiche grafiche sui volumi acquisiti/conservati.
La funzione di monitoraggio è in carico al Fornitore per tutta la durata contrattuale.
Il servizio dovrà mettere a disposizione dell'utenza un sistema di gestione e monitoraggio,
basato su interfaccia web ed accessibile via Internet, per monitorare l'andamento del servizio, il
numero e la dimensione dei documenti conservati, il relativo stato ecc nonché di effettuare ricerche,
estrarre statistiche, analizzare i livelli di servizio al fine di consultare e scaricare tutti i dati necessari
al loro calcolo oltre ad ogni altra funzionalità utile per l'utenza del servizio.
23
Art. 35 – Sicurezza.
La Ditta deve garantire e dimostrare nella soluzione progettuale la completa sicurezza del
servizio, tramite misure infrastrutturali e procedurali, in termini di:
- riservatezza;
- continuità operativa e disaster recovery;
- recupero e conservazione dei dati in caso di disservizio;
- modificabilità dei dati/documenti;
- tracciabilità degli accessi;
- garanzia della validità nel tempo dei documenti firmati.
La Ditta, in relazione alla sicurezza nel procurement del Cloud, dovrà altresì produrre un
documento tecnico in cui descrive la propria soluzione rispetto ai parametri chiave della sicurezza,
individuati nella check list della guida Procure Secure di ENISA (European Network and
Information Security Agency), principalmente in relazione a:
- disponibilità del servizio;
- risposta ad incidenti;
- elasticità del servizio;
- gestione del ciclo di vita delle informazioni;
- gestione della compliance e delle vulnerabilità;
- gestione dei log.
Art. 36 – Servizio di help desk.
Il Fornitore deve mettere a disposizione un servizio di help desk, raggiungibile tramite
telefono (numero verde gratuito), e-mail e fax, per il personale tecnico e gli utenti dell’Azienda
Sanitaria, in ordine ai seguenti aspetti:
-
indisponibilità del servizio di conservazione;
malfunzionamento del servizio di conservazione;
richiesta di attivazione di nuovi servizi o nuove utenze;
richieste di chiarimenti sul servizio;
gestione delle eccezioni.
Il servizio di help desk dovrà essere garantito dalle 8:00 alle 19:00, dal lunedì al venerdì
esclusi i festivi.
Il Fornitore deve mettere a disposizione un sistema di Trouble Ticketing al fine di fornire la
necessaria trasparenza nella gestione dei problemi.
CAPO VII. MANUTENZIONE.
Art. 37 – Manutenzione correttiva.
Il Fornitore s’impegna a garantire la buona funzionalità applicativa del sistema mediante la
diagnosi e la rimozione delle cause dei malfunzionamenti dei sistemi nonché dei loro effetti, sia su
segnalazione degli operatori dell’Azienda Sanitaria, sia per quanto autonomamente rilevato dalla
Ditta aggiudicataria.
La manutenzione correttiva dovrà essere eseguita nel rispetto delle tempistiche d’intervento
di cui all’art. 40 del presente Capitolato.
24
Art. 38 – Manutenzione adeguativa.
Il Fornitore s’impegna a garantire l’adeguamento del sistema offerto in aderenza alle
disposizioni internazionali, europee, nazionali, di indirizzo regionali e contrattuali relativi al
servizio de quo, nonché l’aderenza degli apparati impiegati alle esigenze di servizio aziendali in
termini di prestazioni e di affidabilità.
Art. 39 – Manutenzione evolutiva.
Il Fornitore, nella soluzione progettuale, dovrà indicare le modalità di gestione delle
richieste del personale incaricato dell’Azienda Sanitaria, relative all’adeguamento del servizio
rispetto all’evoluzione normativa in materia, nonché quelle che risultassero necessarie per una
maggiore personalizzazione e funzionalità dello stesso.
Il Fornitore pertanto, nell’espletamento del servizio, dovrà verificare l’efficacia dei sistemi
ed adottare le misure suggerite dalla best practice, per la loro ottimizzazione e per il loro costante
adeguamento, a quelle che sono i livelli di sicurezza informatica in funzione delle necessità
dell’Azienda Sanitaria.
CAPO VIII. PENALI.
Art. 40 – Penalità.
Il ritardo nell'attivazione del servizio di conservazione, secondo quanto previsto all'art. 9
“Avvio del servizio e collaudo”, salvo fatti o cause non imputabili al Fornitore, comporterà una
penale di 2.000 € per ogni giorno di ritardo.
Il ritardo nell'attività di presa in carico del pregresso, secondo quanto previsto all'art. 11
“Piano di migrazione dei dati verso il Cloud Computing”, a meno di cause non imputabili al
Fornitore, comporterà una penale di 2.000 € per ogni giorno di ritardo.
La mancata consegna del piano di continuità operativa e del piano di Disaster Recovery
entro 70 giorni solari dalla comunicazione di aggiudicazione, ai sensi dell’art. 50-bis del Codice
dell’Amministrazione Digitale e di quanto previsto nel presente Capitolato, comporterà
l’applicazione di una penale pari a 2.000,00 euro per ogni giorno di ritardo.
Per l’attività di help-desk e per le attività di assistenza e di manutenzione vengono
specificati i seguenti Service Level Agreement (SLA) con le percentuali ed i tempi di intervento che
dovranno essere rispettati dalla Ditta/RTI aggiudicatario. I tempi sono calcolati tutti dal momento
della chiamata.
I presenti SLA saranno adottati al momento del rilascio del sistema richiesto e dopo il suo
collaudo positivo.
Sarà valutata positivamente la proposta di livelli di servizio migliori rispetto a quelli
richiesti.
Tempo di chiusura delle problematiche (hardware e software) calcolato dall’apertura
della segnalazione all’Help desk
Codice
Voce
1
L’intero
servizio è
indisponibile
Tempo di
risoluzione
Entro 1 ora
solare
Penale
Per ogni ora
solare oltre 1
ora
1% dell’importo
contrattuale annuo
25
2
3
Funzionalità
critiche del
servizio sono
indisponibili
Funzionalità
non critiche del
servizio sono
indisponibili
Entro 4 ore
solari
Per ogni 2 ore
solari oltre le 8
ore
Entro 24 ore Per ogni 8 ore
solari
solari oltre le
24 ore
1% dell’importo
contrattuale annuo
1% dell’importo
contrattuale
Disponibilità del servizio di conservazione sostitutiva all’interno della finestra temporale
pari al trimestre
Periodo di
osservazione
Descrizione
Formula
Penale
Trimestre (**)
DSCS: L'indicatore viene misurato sottraendo dal tempo totale
(numero di ore) della finestra di rilevazione di servizio nel periodo
di riferimento (**) la durata totale delle indisponibilità (numero di
ore e frazioni di ora); e rapportando tale differenza al tempo totale
della finestra di servizio (**). I tempi di ciascuna indisponibilità si
misurano in ore, minuti e secondi all'interno dell’arrotondamento
della finestra temporale di servizio dell’help desk. Nel caso di
indisponibilità segnalate dall'utenza, la loro durata viene misurata
come l'intervallo tra l'istante in cui avviene la segnalazione del
problema e l'istante in cui il problema viene risolto con riscontro
positivo dell'utente. Fanno fede a tale proposito gli indicatori
registrati dal sistema di monitoraggio del servizio descritto
nell’art. 34 ed i riferimenti temporali registrati nel sistema di help
desk descritto nell’art. 36.
DSCS = 100 * (tempo_totale - durata_totale_indisponibilità) /
tempo_totale
1% del valore contrattuale del servizio nel periodo di riferimento per
ogni 0,1% in meno rispetto alla soglia del 98% del DSCS.
I livelli di servizio e tutti i dati necessari per il loro calcolo (elenco dettagliato di tutte le
segnalazioni ripartite per tipologia con data e ora di apertura e chiusura, log delle invocazioni del
servizio e relativi tempi di risposta, log del sistema di monitoraggio del servizio ecc.) dovranno
essere consultabili e scaricabili dall’ULSS per mezzo del sistema di monitoraggio (attivo 24 ore su
24) descritto nell’art. 34 “Presidio e Monitoraggio” e per mezzo del sistema di gestione trouble
ticketing descritto nell’art. 36 “Servizio di help desk” forniti dall’aggiudicatario.
La Ditta offerente dovrà dichiarare, rispettando i livelli sopra descritti, il tempo massimo di
indisponibilità del sistema durante un anno solare riportando anche il massimo di ore consecutive di
indisponibilità che viene assicurato.
Qualora tale fermo superi le giornate dichiarate complessivamente considerate in un anno, o
il numero di ore consecutive dichiarate, l’Azienda Sanitaria si riserva di applicare, per ciascuna ora
di fermo aggiuntivo dei sistemi, una penale pari a € 200,00.
I tempi dichiarati devono comprendere anche i periodi di fermo parziale del sistema
eventualmente dovuti alla manutenzione programmata.
Il mancato rispetto del cronoprogramma stabilito con l’Azienda Sanitaria per l’attivazione
26
dei servizi, per i casi non contemplati nel presente articolo, comporterà l’applicazione di una penale
pari ad euro 1.000,00 per ogni giorno di ritardo.
Art. 41. Applicazione delle penali.
L’applicazione delle penali nei casi previsti dal presente Capitolato è notificata per iscritto
dall’Azienda Sanitaria al Fornitore mediante lettera o fax. Entro 15 giorni dal ricevimento della
predetta comunicazione il Fornitore dovrà inviare all’Azienda Sanitaria le proprie controdeduzioni e
memorie scritte. L’Azienda Sanitaria, entro i successivi 15 giorni dal ricevimento delle
controdeduzioni da parte del Fornitore, comunicherà le proprie valutazioni che, se negative,
comporteranno (compresi i casi di mancato invio delle controdeduzioni nei termini suindicati) la
detrazione dell’ammontare delle penali dalla quota dovuta al Fornitore.
L’importo, pari alla somma addebitata per le singole contestazioni, potrà essere riconosciuto
dal Fornitore, previo accordo con l’Azienda Sanitaria, anche mediante l’emissione di una nota di
credito entro 30 giorni dal ricevimento della comunicazione di applicazione delle penalità.
L’importo complessivo delle penalità applicate non potrà superare il 10% del canone
annuale.
La richiesta e/o l’applicazione delle penali non esime il Fornitore dal corretto e puntuale
adempimento del servizio considerata la finalità di servizio pubblico essenziale cui è rivolta la
fornitura.
L’applicazione delle penali non preclude il diritto dell’Azienda Sanitaria di richiedere il
risarcimento di eventuali ulteriori danni.
TITOLO III. RESPONSABILITÀ
CAPO I. RESPONSABILITA’ CONTRATTUALE.
Art. 42 – Individuazione delle responsabilità.
La Ditta aggiudicataria è responsabile nei confronti dell’Azienda Sanitaria dell’esatto
adempimento delle prestazioni oggetto del presente Capitolato speciale.
È altresì responsabile nei confronti dell’Azienda Sanitaria e dei terzi dei danni di qualsiasi
natura, materiali o immateriali, diretti ed indiretti, causati a cose o persone e connessi all’esecuzione
del contratto, anche se derivanti dall’operato dei suoi dipendenti e consulenti. Sarà altresì
responsabile della mancata osservanza ad essa imputabile delle tempistiche e delle modalità
procedurali per la conservazione sostitutiva dei documenti trasmessi, stabilite dalla normativa, dal
presente capitolato e dagli allegati, e in caso di perdita o danneggiamento dei dati sottoposti a
conservazione.
È fatto obbligo della Ditta di mantenere l’Azienda Sanitaria sollevata ed indenne da
richieste di risarcimento dei danni e da eventuali azioni legali promosse da terzi.
Art. 43 – Incarico di Responsabile della conservazione e Responsabile di
progetto del Cloud provider.
Il Fornitore deve assumere l'incarico di Responsabile della Conservazione ai sensi della
normativa vigente ed adempiere ai relativi obblighi.
La Ditta appaltatrice dovrà altresì individuare un Responsabile del progetto incaricato di
gestire la commessa che deve essere presente nelle ore di servizio e rapidamente rintracciabile
27
durante le altre ore della giornata, munito di ampia delega a trattare in merito a qualsiasi problema,
che dovesse insorgere, in tema di esecuzione degli adempimenti previsti dal contratto d’appalto.
Il Responsabile del progetto ha il compito di programmare, coordinare, controllare e far
osservare al personale impiegato le funzioni ed i compiti stabiliti, di intervenire, decidere e
rispondere direttamente riguardo ad eventuali problemi che dovessero sorgere in merito alla
regolare esecuzione delle prestazioni appaltate ed all’accertamento di eventuali penali.
Il Responsabile del progetto rappresenterà l’unico interlocutore riconosciuto dall’Azienda
Sanitaria e dai suoi operatori essendo l’unica persona con cui dovrà relazionarsi il referente
dell’Azienda Sanitaria per la gestione delle problematiche relative al servizio.Tutte le
comunicazioni e contestazioni di inadempienza rilevate in contraddittorio con il Responsabile del
progetto dovranno intendersi rivolte direttamente alla Ditta aggiudicataria.
Il Responsabile del progetto per la Ditta aggiudicataria è tenuto al rispetto degli obblighi
previsti dal Capitolato tecnico.
Art. 44 - Brevetti e diritto d’autore.
L’Azienda Sanitaria non assume alcuna responsabilità nel caso che la Ditta fornisca
dispositivi e/o soluzioni tecniche di cui altri detengano la privativa.
La Ditta aggiudicataria assumerà l’obbligo di tenere indenne l’Azienda Sanitaria da tutte le
rivendicazioni, le responsabilità, perdite e danni pretesi da chiunque, nonché da tutti i costi, le spese
e le responsabilità ad essi relativi a seguito di qualsiasi rivendicazione di violazione dei diritti
d’autore o di qualsiasi marchio italiano o straniero, derivante o che si pretendesse derivare dalla
prestazione.
Ciascuna parte si obbliga a dare immediato avviso all’altra di qualsiasi azione di
rivendicazione o contestazione di terzi di cui al precedente comma, della quale sia venuta a
conoscenza.
Art. 45 - Proprietà del software applicativo.
Il diritto di proprietà e/o di utilizzazione e sfruttamento economico del software applicativo,
unitamente agli elaborati prodotti, alle opere dell'ingegno, alle creazioni intellettuali, alle procedure
software, creati, predisposti o realizzati dalla Ditta aggiudicataria nell'ambito o in occasione
dell'esecuzione delle attività, oggetto dell’appalto, rimarranno di titolarità esclusiva dell’Azienda
Sanitaria, che potrà quindi disporne senza alcuna restrizione.
TITOLO IV. SPECIFICHE CONTRATTUALI.
CAPO I. DISCIPLINA CONTRATTUALE.
Art. 46 – Stipula e termine del contratto.
A seguito di aggiudicazione definitiva sarà stipulato apposito contratto ai sensi e con le
modalità previste dagli artt. 11 e 79 del D.Lgs 163/2006 e s.m.i..
Il contratto verrà stipulato in forma scritta entro 120 giorni dall’intervenuta efficacia
dell’aggiudicazione definitiva.
In caso di urgenza, il committente nelle more della stipula del contratto, può disporre,
l’anticipata esecuzione dello stesso, ai sensi dell’art. 11 del D.Lgs. 163/06 e s.m.i.
Tutte le spese e tasse, nessuna eccettuata, inerenti e conseguenti la gara e alla stipula del
contratto, saranno a carico della Ditta aggiudicataria.
In caso di urgenza il committente, nelle more della stipula del contratto, può disporre
28
l’anticipata esecuzione dello stesso ai sensi dell’art. 11 del D.Lgs. 163/06 e s.m.i.
L’Azienda Sanitaria si riserva la facoltà di scorrere la graduatoria definitiva di gara, al fine
di individuare il nuovo offerente affidatario nel caso in cui la Ditta appaltatrice, ai sensi del
medesimo comma 9, dell’art. 11, del sopra citato Decreto Legislativo, si sciolga dal vincolo
dell’aggiudicazione e, conseguentemente, non stipuli il contratto.
L’Azienda Sanitaria si riserva la facoltà di scorrere la graduatoria anche nel caso in cui
l’aggiudicatario receda dal contratto.
La Ditta appaltatrice con la sottoscrizione del contratto si assume tutti gli obblighi di
tracciabilità dei flussi finanziari previsti dalla L. 136/2010 ai sensi dell’art. 50 “Tracciabilità dei
flussi finanziari”del presente Capitolato.
La Ditta aggiudicataria, al termine della durata contrattuale, dovrà, senza oneri aggiuntivi,
rilasciare i documenti e gli audit relativi, presenti sul proprio sistema di conservazione, alla Ditta
subentrante che prenderà in carico la custodia del dato.
Art. 47 - Deposito cauzionale definitivo.
La Ditta appaltatrice, a garanzia dell’esatto e completo adempimento di tutti gli obblighi
derivanti dal contratto, del risarcimento dei danni derivanti dall’inadempimento degli obblighi
stessi, nonché del rimborso delle somme che l’Azienda Sanitaria abbia eventualmente pagato in più
durante l’esecuzione della fornitura, dovrà costituire - presso l’Azienda Sanitaria ed entro 15 giorni
dalla richiesta - un deposito cauzionale definitivo.
L’ammontare del Deposito è pari al 10% dell’importo complessivo di affidamento, al netto
dell’IVA, in base alle previsioni contenute nell’art. 113 del D.Lgs. 163/2006 e secondo le modalità
in esso previste. In caso di aggiudicazione con ribasso d'asta superiore al 10%, la garanzia
fideiussoria è aumentata di tanti punti percentuali quanti sono quelli eccedenti il 10%; ove il ribasso
sia superiore al 20 per cento, l'aumento è di due punti percentuali per ogni punto di ribasso
superiore al 20 per cento.
La cauzione definitiva dovrà avere una validità di almeno 48 mesi.
L'importo e' ridotto del cinquanta per cento per gli operatori economici ai quali venga
rilasciata, da organismi accreditati, ai sensi delle norme europee della serie UNI CEI EN 45000 e
della serie UNI CEI EN ISO/IEC 17000, la certificazione del sistema di qualità conforme alle
norme europee della serie UNI CEI ISO 9000. Per fruire di tale beneficio l'operatore economico
dovrà segnalare il possesso del requisito e lo dovrà documentare producendo copia dichiarata
conforme all’originale ai sensi degli articoli 18 e 19 del D.P.R.445/2000 della certificazione de qua.
Il deposito cauzionale definitivo è mantenuto nell’ammontare stabilito, secondo il
dispositivo di cui al comma 3, dell’art. 113, del D.Lgs 163/2006, per tutta la durata del contratto e,
pertanto, va reintegrato qualora l’Azienda Sanitaria medesima effettui su di esso prelevamenti per
fatti connessi all’incompleto e irregolare adempimento degli obblighi contrattuali anche per quelli a
fronte dei quali è prevista l’applicazione di penali: l’Azienda Sanitaria, fermo restando quanto
previsto all’art. 40 “Penalità”, avrà diritto, pertanto, di rivalersi direttamente sulla deposito
cauzionale per l’applicazione delle stesse. Ove la reintegrazione del deposito cauzionale non
avvenga entro il termine di 15 giorni dal ricevimento della lettera di comunicazione dell’Azienda
Sanitaria interessata, sorge in quest’ultima la facoltà di risolvere il contratto. Sono fatte salve le
azioni per il risarcimento dei conseguenti danni subiti (art. 1382 c.c.).
Il documento dovrà riportare la formale rinuncia al beneficio della preventiva escussione –
art. 1944 del Codice Civile – nei riguardi dell’Impresa obbligata e la rinuncia all’eccezione di cui
all’art. 1957, comma 2 del C.C. Se il deposito è costituito mediante polizza fideiussoria o atto di
fidejussione, si dovrà, inoltre, inserire il formale impegno del fideiussore a pagare la somma
garantita entro 15 giorni dal ricevimento di semplice richiesta scritta.
Il deposito dovrà ritenersi svincolato, solo dopo l’esecuzione completa e regolare di tutti gli
29
obblighi contrattuali, fatto salvo quanto stabilito nel citato art. 113 del D.Lgs 163/2006.
Nel caso di fornitura di beni, per cui sia previsto un periodo di garanzia, la cauzione
definitiva sarà svincolata solo allo scadere del periodo di garanzia convenuto.
In caso di ATI la polizza dovrà essere intestata alla Ditta Capogruppo, in qualità di
mandataria del raggruppamento, e dovranno essere espressamente indicate tutte le ditte facenti parte
dell'ATI.
Art. 48 – Cessione del contratto e subappalto.
E' vietata la cessione del contratto, salvo i casi di fusione, scissione, accorpamento o
cessione di ramo d'azienda.
Il subappalto è ammesso a condizione che la Ditta concorrente indichi in offerta le parti
dell'appalto che intende eventualmente subappaltare a terzi nei limiti e secondo le modalità previste
dall'art. 118 del D. Lgs. n. 163/2006.
In particolare:
- in sede di offerta i concorrenti dovranno indicare le parti di fornitura/servizio che intendono
subappaltare. La mancata indicazione sta a significare che la Ditta non intende effettuare
subappalto e comporta l'impossibilità per l'aggiudicatario di ricorrere al subappalto con
conseguente obbligo dell'appaltatore di portare a termine in proprio tutta la fornitura/servizio
aggiudicato;
-
l'appaltatore deve provvedere al deposito del contratto di subappalto presso l’Azienda Sanitaria
almeno venti giorni prima della data di effettivo inizio dell'esecuzione del contratto. Al
contratto dovrà essere allegata una dichiarazione circa la sussistenza o meno di eventuali forme
di controllo o di collegamento a norma dell'art. 2359 del Codice Civile tra l'Impresa che si
avvale del subappalto e l'impresa affidataria dello stesso.
-
in caso di R.T.I. tale dichiarazione deve essere effettuata da ciascuna delle imprese partecipanti;
-
al momento del deposito del contratto di subappalto, l'appaltatore deve trasmettere la
certificazione attestante il possesso da parte del subappaltatore dei requisiti di qualificazione
prescritti dal codice degli appalti in relazione alla prestazione subappaltata e la dichiarazione
del subappaltatore attestante il possesso dei requisiti generali di cui all'art. 38 del Codice degli
appalti. Il subappaltatore deve dichiarare di essere a conoscenza di tutte le clausole e condizioni
previste dal contratto sottoscritto dall'appaltatore;
-
il pagamento sarà effettuato direttamente all'Appaltatore, previa acquisizione, da parte
dell'appaltatore e del subappaltatore, del Documento Unico di Regolarità Contributiva (DURC)
nonché di copia dei versamenti agli organismi paritetici previsti dalla contrattazione collettiva,
ove dovuti.
-
la Ditta aggiudicataria deve praticare per le forniture affidate in subappalto gli stessi prezzi
unitari risultanti dall'aggiudicazione, con ribasso non superiore al 20%. Gli eventuali oneri
relativi alla sicurezza non sono soggetti a ribasso in sede di subappalto;
-
l'Appaltatore - e per suo tramite le Imprese subappaltatrici - trasmettono periodicamente all’
Azienda Sanitaria copia dei versamenti contributivi, previdenziali, assicurativi previsti dalla
Legge;
-
la fornitura affidata in subappalto non può formare oggetto di ulteriore subappalto;
-
la partecipazione alla gara comporta di per sé l'esclusione dalla possibilità per i concorrenti di
essere successivamente autorizzati ad assumere la veste di subappaltatori;
-
tutti i rapporti saranno intrattenuti con l'aggiudicatario. La responsabilità dell'esecuzione della
30
fornitura, ivi compresa la parte subappaltata, rimarrà tutta a carico dell'appaltatore.
La Ditta appaltatrice si attiva, affinché nei contratti sottoscritti con i subappaltatori e i
subcontraenti sia inserita, a pena della nullità assoluta, una apposita clausola con la quale ciascuno
di essi si assume gli obblighi di tracciabilità dei flussi finanziari di cui alla L. 136/2010. La Ditta si
impegna a fornire all’Azienda Sanitaria copia od estratto dei predetti documenti da cui si evinca il
rispetto delle disposizioni in materia di tracciabilità.
La Ditta appaltatrice e il subappaltatore che abbia notizia dell'inadempimento della propria
controparte degli obblighi di tracciabilità finanziaria di cui all'art. 3 della L. 136/2010 procede
all'immediata risoluzione del rapporto contrattuale, informandone contestualmente l'Azienda
Sanitaria e la Prefettura – ufficio territoriale del Governo.
Art. 49 – Fatturazione e pagamenti.
Il pagamento del corrispettivo, sarà disposto, da parte dell’Azienda Sanitaria, su base
trimestrale posticipata, a seguito della presentazione di regolare fattura.
La fatturazione dei lotti di documenti amministrativi e sanitari e delle immagini Pacs, di cui
al precedente art. 6 “Costo del servizio e volumi documentali”, terrà conto dei seguenti parametri:
1. invio in conservazione dei documenti amministrativi ed immagini (pregressi ed ordinari):
addebito in fattura, per ciascun trimestre, al raggiungimento della soglia numerica di
500.000 documenti per singolo lotto;
2. invio in conservazione delle immagini (pregresse ed ordinarie): addebito in fattura, per
ciascun trimestre, al raggiungimento della soglia di 1 TB di spazio per singolo lotto.
L’addebito di ciascun lotto dovrà pertanto essere effettuato al solo raggiungimento dei limiti
predetti.Non potranno pertanto essere addebitate all’Azienda Sanitaria frazioni numeriche
documentali e/o di spazio inferiori alle soglie indicate ai punti 1 e 2. Al termine del contratto, le
frazioni numeriche documentali e/o di spazio non ancora fatturate, per il mancato raggiungimento
delle soglie di cui ai punti 1 e 2, verranno addebitate all’Azienda Sanitaria mediante apposita
fatturazione (conguaglio) proporzionalmente al costo di un intero lotto.
La Ditta aggiudicataria si impegna a segnalare con tempestività all’Azienda Sanitaria, nel
corso del trimestre, una produzione anomala di documenti per una determinata categoria.
Il pagamento delle fatture, sarà effettuato secondo le leggi e le prassi commerciali vigenti. Il
pagamento delle stesse sarà effettuato purché il servizio sia stato regolarmente svolto, secondo
quanto previsto dal presente Capitolato ed eventuali ulteriori specifiche contrattuali.
Gli eventuali interessi di mora per ritardato pagamento, potranno essere corrisposti solo a
seguito di formale richiesta scritta da parte della Ditta appaltatrice (art. 1219 c.c.), inviata con
Raccomandata A.R. a decorrere dal 31 giorno successivo alla scadenza e saranno determinati
secondo la vigente normativa in materia. In ogni caso il ritardato pagamento non potrà costituire
motivo per interruzione della fornitura considerata la finalità di interesse pubblico del servizio in
oggetto.
L’Azienda Sanitaria a garanzia della puntuale osservanza delle clausole contrattuali, può
sospendere, ferma restando l’applicazione delle eventuali penalità, i pagamenti alla Ditta
appaltatrice cui siano state contestate inadempienze nell’esecuzione della fornitura, nella
prestazione del servizio, o qualora sorgano contestazioni di natura amministrativa, fino a che non si
sia posto in regola con gli obblighi contrattuali (art. 1460 cc.).
31
Art. 50 – Tracciabilità dei flussi finanziari.
La Ditta appaltatrice si impegna a rispettare gli obblighi sulla tracciabilità dei pagamenti
previsti dalla L. 136/2010.
Per assicurare la tracciabilità dei flussi finanziari, prevista dall'art. 3 della L. 136/2010, la
Ditta appaltatrice, i subappaltatori e i sub contraenti a qualsiasi titolo interessati dalla fornitura
oggetto di appalto devono utilizzare conti correnti bancari o postali, accesi presso banche o presso
la società Poste Italiane Spa, dedicati alle commesse pubbliche. Tutti i movimenti finanziari relativi
al presente appalto saranno effettuati tramite bonifico bancario o postale, e saranno registrati sul/sui
conto/i corrente/i dedicato/i indicato della Ditta. Gli strumenti di pagamento devono riportare, in
relazione a ciascuna transazione posta in essere dall’Azienda Sanitaria, dall’Appaltatore e dai
subcontraenti della filiera delle imprese, il codice identificativo di gara (CIG).
La ditta pertanto dovrà compilare ed inviare via fax al numero 0423/526157 o via email
all’indirizzo [email protected] l’apposito modulo per la comunicazione delle coordinate IBAN,
scaricabile dal sito internet aziendale: www.ulssasolo.ven.it – sezione “Fornitori”.
Art. 51 – Adesione di altre Aziende sanitarie della Regione Veneto.
Nell’ottica di una razionalizzazione della spesa sanitaria in ambito regionale, ottenibile
attraverso un’azione concertata tra Aziende Sanitarie per procedure di gara sovra-aziendali per
l’approvvigionamento di beni e servizi, altre Aziende ULSS della Regione Veneto potranno
sottoporre all’Azienda Sanitaria di Asolo una proposta per usufruire del servizio oggetto del
presente Capitolato Speciale con la dichiarazione del fabbisogno presunto.
Ai prezzi offerti verrà applicato uno sconto a seguito dell’adesione da parte di altre Aziende
Sanitarie della Regione Veneto ed in ragione dei volumi contrattuali dichiarati e sottoscritti sulla
base del fabbisogno di cui sopra. Lo sconto verrà applicato, a partire dal momento della nuova
adesione, oltre alle nuove Aziende sanitarie aderenti, anche a tutte le Aziende ULSS che fino a quel
momento già usufruivano del servizio secondo la griglia sotto indicata.
L’Azienda ULSS n. 8 di Asolo, previa verifica ed accettazione di tale proposta, chiederà
quindi alla Ditta aggiudicataria la disponibilità ad attivare il servizio oggetto del presente Capitolato
in favore di ogni nuova Azienda sanitaria richiedente.
La conferma di tale attivazione da parte della ditta aggiudicataria comporterà:
1)la sottoscrizione di apposita convenzione fra l’ULSS n. 8 di Asolo e la nuova Azienda
sanitaria;
2) la definizione contrattuale diretta fra la ditta aggiudicataria e la nuova Aziende sanitaria;
3) la rideterminazione in diminuzione dei costi variabili di cui alle voci D ed H, dello schema
all’art. 6 “Costo del servizio e volumi documentali”, di competenza dell’Azienda ULSS n. 8 di
Asolo, della nuova Azienda sanitaria e delle eventuali altre Aziende ULSS che avevano aderito
in precedenza, come da schema seguente:
Soglie di documenti inviati in conservazione nel trimestre e relativo sconto (*)
Documenti amministrativi e sanitari trimestrali
(**)
fino ad 1 lotto
pari a 2 lotti
Sconto sul prezzo del lotto di documenti
voce D dell’art. 6
(Iva esclusa).
Prezzo di aggiudicazione
2,5%
32
oltre a 2 fino a 4 lotti
oltre 4 fino a 8 lotti
oltre 8 lotti
Immagini PACS trimestrali (***)
fino a 3 lotti
oltre a 3 fino a 6 lotti
oltre a 6 fino a 10 lotti
oltre 10 fino a 20 lotti
oltre 20 lotti
5,0%
7,5%
10,0%
Sconto sul prezzo del lotto di immagini
voce H dell’art. 6
(Iva esclusa).
Prezzo di aggiudicazione
2,5%
5,0%
7,5%
10,0%
(*) da intendersi come somma dei volumi di tutte le aziende già aderenti più le nuove adesioni.
(**) un lotto di documenti corrisponde a 500.000 documenti.
(***) un lotto di immagini corrisponde ad un volume 1 TB calcolato non compresso.
_______________________________________________________________________________________
Ai soli fini esemplificativi, per meglio comprendere l’applicazione della scontistica
sopraindicata, si consideri il seguente esempio:
Si suppone che i prezzi di aggiudicazione IVA esclusa del servizio, per quanto riguarda le
voci di costo “D” ed “H”, siano i seguenti:
- voce “D” - Messa in conservazione dei documenti e gestione del servizio di conservazione
(omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) – euro 1.000,00
per ciascun lotto da 500.000 documenti;
- voce “H” - Messa in conservazione delle immagini PACS e gestione del servizio di
conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) –
euro 2.000,00 per ciascun lotto da 1 TB non compresso.
Il contratto stipulato con la prima Azienda sanitaria, ULSS “A”, prevede i seguenti
fabbisogni:
- volume trimestrale di documenti amministrativi e clinici da contratto: 1 lotto;
- volume trimestrale di immagini PACS: 2,5 lotti;
Si suppone che, in un momento successivo, aderisca al servizio una nuova Azienda sanitaria,
l’ULSS “B” che, in fase di stipula del contratto, dichiari i seguenti fabbisogni:
- volume trimestrale di documenti amministrativi e clinici da contratto: 2 lotti;
- volume trimestrale di immagini PACS: 3 lotti;
I prezzi di aggiudicazione dovranno quindi essere scontati, per le due aziende sanitarie, nel
modo seguente:
- voce “D”: sconto del 5% rispetto al prezzo di aggiudicazione (tot. lotti 3 A+B);
- voce “H”: sconto del 2,5% rispetto al prezzo di aggiudicazione (tot. lotti 5,5 A+B);
dando luogo ai seguenti corrispettivi pagati dalle due aziende sanitarie alla ditta fornitrice:
- voce “D”: euro 950,00 per ciascun lotto da 500.000 documenti;
- voce “H”: euro 1.950,00 per ciascun lotto da 1 TB non compresso;
Si suppone inoltre che, successivamente ai contratti stipulati dalle Aziende A e B, aderisca
al servizio una ulteriore nuova Azienda sanitaria, l’ULSS “C” che, in fase di stipula del contratto,
dichiari i seguenti fabbisogni:
33
- volume trimestrale di documenti amministrativi e clinici da contratto: 2 lotti
- volume trimestrale di immagini PACS: 5 lotti;
I prezzi di aggiudicazione dovranno quindi essere ulteriormente scontati, per le tre aziende
sanitarie, nel modo seguente:
- voce “D”: sconto del 7,5% rispetto al prezzo di aggiudicazione (tot. lotti 5 A+B+C);
- voce “H”: sconto del 7,5% rispetto al prezzo di aggiudicazione (tot. lotti 10,5 A+B+C);
dando luogo ai seguenti corrispettivi pagati dalle tre aziende sanitarie alla ditta fornitrice:
- voce “D”: euro 925,00 per ciascun lotto da 500.000 documenti;
- voce “H”: euro 1.850,00 per ciascun lotto da 1 TB non compresso.
________________________________________________________________________________
Il servizio decorrerà, per le nuove Aziende entranti, a partire dal primo giorno di ciascun
trimestre dell’anno (1° gennaio, 1° aprile, 1° luglio,1° ottobre).
Su richiesta di ciascuna Azienda Sanitaria, alle fatture dovrà essere unito un report in cui
siano riportati i volumi di documenti e lo spazio di immagini complessivi relativi a tutte le Aziende
sanitarie aderenti al servizio, di cui allo schema suindicato, da cui si evinca il calcolo effettuato per
l’applicazione della scontistica.
L’attivazione del servizio, secondo il paradigma del Public Cloud Computing, in favore delle
nuove Aziende sanitarie, di cui al presente articolo, non è da intendersi quale “estensione” del
contratto dell’Azienda ULSS n. 8 di Asolo, ma quale “contratto” stipulato dalla Ditta aggiudicataria
con le singole nuove Aziende sanitarie, che adotteranno un proprio atto deliberativo.
Ne consegue che l’importo dovuto per il servizio reso alle suddette nuove Aziende sanitarie
dovrà essere direttamente e separatamente fatturato a ciascuna delle stesse.
Tutte le disposizioni e le garanzie del presente Capitolato Speciale e del Disciplinare di Gara
devono essere applicate anche nei contratti con altre Aziende sanitarie del Veneto, in quanto
compatibili, nel rispetto del fondamentale principio del favor utentis cui si rivolge l’attività di
un’amministrazione pubblica.
Art. 52 - Coperture assicurative.
La Ditta appaltatrice risponderà direttamente dei danni provocati all’Azienda Sanitaria
nell’esecuzione del presente contratto che possano derivare da fatto proprio, dal personale o da
chiunque sia chiamato a collaborare.
L’Azienda Sanitaria è esonerata da ogni responsabilità per danni, infortuni o altro dovesse
accadere al personale di cui si avvarrà la Ditta appaltatrice nell’esecuzione del contratto.
La Ditta appaltatrice, pertanto, si impegna a stipulare una polizza RCT/RCO nella quale
venga esplicitamente indicato che l’Azienda Sanitaria è considerata "terza" a tutti gli effetti.
L’Assicurazione dovrà essere prestata sino alla concorrenza di massimali di garanzia non
inferiori a € 5.000.000,00 per sinistro, per persona o cose ed inoltre garantisca le rivalse di qualsiasi
Ente e/o dei dipendenti della Ditta appaltatrice per infortuni e/o malattie professionali con
massimali di garanzia non inferiori a € 5.000.000,00 per sinistro e per ciascuna persona.
La Ditta appaltatrice prima di iniziare il servizio dovrà inviare all’Azienda Sanitaria copia di
detta polizza, unitamente alla quietanza di pagamento del premio.
La quietanza di pagamento del premio dovrà essere presentata all’Azienda Sanitaria con la
periodicità prevista dalla polizza stessa onde verificare il permanere della validità del contratto di
assicurazione per tutta la durata del servizio.
L'Azienda Sanitaria potrà risolvere il contratto in caso di mancata stipulazione della polizza,
per la non conformità della stessa rispetto a quanto stabilito nel presente articolo o di mancato
34
pagamento del premio, tale da pregiudicare l’efficacia della copertura assicurativa (clausola
risolutiva espressa, art. 1456 del Codice Civile).
Art. 53 – Revisione dei prezzi.
I prezzi offerti rimarranno fissi ed invariabili per il primo anno di fornitura.
Decorso il primo anno dall’inizio della fornitura si potrà dar luogo ad adeguamento dei
prezzi con le modalità di cui all’art. 115 del D. Lgs. 163/2006.
In mancanza di costi standardizzati di cui all’art. 7 comma 4 lettera c) del D.Lgs. 163/2006
si terrà conto della variazione accertata dall’ISTAT dell’indice dei prezzi al consumo per le famiglie
di operai ed impiegati.
L’adeguamento diverrà operante a seguito di un’apposita istruttoria condotta sulla base dei
dati e degli elementi di cui sopra e decorrerà, ove accettato, dal primo giorno del mese successivo
alla data di ricevimento della richiesta formulata dalla ditta aggiudicataria.Tale richiesta di
adeguamento dovrà pervenire all’Azienda ULSS n. 8 di Asolo a mezzo fax (si vedano i riferimenti
di cui all’art. 59 del presente Capitolato).
Gli adeguamenti non possono essere riconosciuti se non sono trascorsi almeno dodici mesi
dal precedente.
CAPO II. SCIOGLIMENTO DEL RAPPORTO CONTRATTUALE.
Art. 54 - Recesso unilaterale.
L’Azienda Sanitaria potrà recedere dal contratto ai sensi dell’art. 1373 c.c., così come
previsto dall’art. 21- sexies L. 241/90, con preavviso di almeno 30 giorni, da comunicarsi alla Ditta
appaltatrice con lettera raccomandata A.R. o via telefax.
L’Azienda Sanitaria potrà altresì recedere dal contratto, in concomitanza con il servizio già
avviato e svolto dalla Ditta, in caso di nuova aggiudicazione dovuta all’espletamento di una gara
regionale o di area vasta.
L’Azienda Sanitaria si riserva inoltre la facoltà di recedere dal contratto per sopravvenuti
motivi di pubblico interesse, con preavviso di almeno 15 (quindici giorni), da comunicarsi con
lettera raccomandata A/R.
Dalla data di comunicazione del recesso, l’Appaltatore dovrà cessare tutte le prestazioni
contrattuali, assicurando che tale cessazione non comporti alcun danno per l’Azienda Sanitaria
assicurando altresì la continuità operativa con il fornitore subentrante.
Art. 55 - Risoluzione del contratto.
L’Azienda Sanitaria, in caso di inadempimento della Ditta appaltatrice agli obblighi
contrattuali, potrà assegnare, con lettera raccomandata A.R. o telefax, un termine per adempiere non
inferiore a 15 giorni dalla data di ricevimento della comunicazione. Trascorso inutilmente il
predetto termine, il contratto si intende risolto.
L’Azienda Sanitaria, avvalendosi della facoltà di cui all’art. 1456 del Codice Civile, potrà
altresì risolvere il contratto, previa comunicazione scritta alla Ditta appaltatrice, con lettera
raccomandata A.R. o telefax, nei seguenti casi:
1. frode nella fornitura del servizio;
2. grave e reiterata negligenza nell’esecuzione degli obblighi e delle condizioni contrattuali;
3. reiterati ritardi nella risoluzione e malfunzionamenti del sistema;
35
4. mancata reintegrazione del deposito cauzionale;
5. accertamento della non veridicità delle dichiarazioni presentate dalla Ditta appaltatrice nel corso
della procedura di gara;
6. perdita, da parte del Ditta appaltatrice, dei requisiti richiesti dal bando di gara e dalla
documentazione di gara, relativamente alle procedure ad evidenza pubblica;
7. cessazione dell’attività, fallimento;
8. sospensione ingiustificata del servizio anche per una sola volta;
9. subappalto non autorizzato;
10. mancato possesso dei requisiti in capo alla Ditta subentrante, qualora si verificasse una
situazione di variazione soggettiva;
11. morte dell’imprenditore, quando la sua persona costituisca motivo determinante di garanzia del
contratto e della sua esecuzione.
12. reiterate e gravi inadempienze contrattuali (almeno 2).
13. mancata notifica degli eventi, fatti ed accadimenti ai sensi dell’art. 20 “Continuità operativa
(CO) del servizio”.
Il contratto sarà altresì risolto di diritto nel caso in cui le transazioni che ne derivino vengano
eseguite senza avvalersi di banche o della società Poste Italiane SpA, ai sensi dell’art. 3, comma 8,
della l. 136/2010.
Con la risoluzione del contratto sorge nell’Azienda Sanitaria il diritto di affidare a terzi la
fornitura, la parte rimanente di questa, in danno all’Impresa inadempiente.
Alla Ditta appaltatrice inadempiente sono addebitate le spese sostenute in più dall’Azienda
Sanitaria rispetto a quelle previste dal contratto risolto. Le somme necessarie sono prelevate dal
deposito cauzionale e, ove questo non sia sufficiente, da eventuali crediti d’impresa, fatto salvo il
diritto dell’Azienda Sanitaria di agire per eventuali maggiori danni subiti.
Nel caso di minor spesa nulla spetta alla Ditta inadempiente.
L’Azienda Sanitaria potrà inoltre escludere dalla partecipazione ad ulteriori procedure di
scelta del contraente l’impresa con la quale abbia precedentemente risolto un contratto per una delle
circostanze previste dall’ art. 55 “Risoluzione del contratto” ai sensi dell’art. 1456 del Codice
Civile.
L’Azienda Sanitaria si riserva la facoltà di rivalersi degli eventuali danni, materiali e morali,
subiti durante l’esecuzione del contratto soprattutto nel caso in cui le inadempienze dovessero
comportare rischi per la salute degli utenti oppure determinare l’interruzione di pubblico servizio.
In ogni caso di risoluzione anticipata del contratto, per qualsiasi motivo, l’Azienda Sanitaria,
oltre a procedere all’immediata escussione della cauzione prestata dalla Ditta aggiudicataria, si
riserva di chiedere il risarcimento dei danni subiti.
Per quanto non previsto dal presente articolo si applicano le disposizioni di cui al Codice
Civile in materia di inadempimento e risoluzione del contratto.
TITOLO V. LEGISLAZIONE SUL LAVORO E RISERVATEZZA DEI DATI.
CAPO I. PERSONALE DIPENDENTE.
Art. 56 – Disposizioni generali.
La Ditta aggiudicataria, in sede di esecuzione, deve avvalersi di proprio personale
qualificato e/o specializzato della cui condotta è ritenuto responsabile in caso di danni, ritardi, errori
e/o omissioni.
Il nominativo e la qualifica del personale impiegato dalla Ditta per l’effettuazione delle
36
prestazioni contrattuali, deve essere tempestivamente comunicati all’Azienda Sanitaria prima
dell’avvio dell’esecuzione contrattuale; in caso di sostituzione la comunicazione dei nominativi
dovrà avvenire almeno con 2 giorni lavorativi di anticipo rispetto alla intervenuta sostituzione.
L’Azienda Sanitaria si riserva la facoltà di chiedere la motivata sostituzione del personale
della Ditta qualora quest’ultimo non consenta il buon svolgimento delle attività.
Il personale opera sotto l’esclusiva responsabilità della Ditta anche nei confronti di terzi. La
sorveglianza da parte dell’Azienda Sanitaria non esonera le responsabilità del Fornitore per quanto
riguarda l’esatto adempimento dell’appalto né la responsabilità per danni a cose o persone.
Il personale impiegato per il servizio dovrà possedere i requisiti sanitari ed amministrativi
previsti dall’attuale legislazione e dovrà assoggettarsi alle precauzioni e misure di profilassi stabilite
dai singoli Enti.
Il personale della Ditta, durante l’espletamento del servizio, dovrà indossare e tenere in
evidenza il cartellino di identificazione personale, riportante nome, cognome, fotografia nonché il
nome della ditta di appartenenza.
La Ditta, in sede di presentazione del progetto, dovrà comunicare il numero degli incaricati
con relativa qualifica.
-
Contratto di lavoro.
La Ditta Aggiudicataria, con riferimento ai propri dipendenti, s'impegna ad osservare ed
applicare integralmente tutte le norme contenute nel contratto collettivo nazionale di lavoro per i
dipendenti delle imprese del settore. Si impegna inoltre al rispetto degli accordi integrativi dello
stesso, in vigore per il tempo e nelle località ove si trova la struttura logistica, anche dopo la
scadenza dei contratti collettivi e degli accordi locali e fino alla loro sostituzione.
La Ditta è obbligata altresì ad attuare, nei confronti dei propri dipendenti, occupati nelle
prestazioni oggetto del contratto, condizioni retributive non inferiori a quelle risultanti dai contratti
collettivi di lavoro applicabili, alla data del contratto, alla categoria e nella località in cui si
svolgono le prestazioni nonché le condizioni risultanti da successive modifiche ed integrazioni ed,
in genere, da ogni altro contratto collettivo successivamente stipulato per la categoria ed applicabile
nella località.
In caso di inottemperanza accertata, l’Azienda Sanitaria potrà provvedere direttamente
impiegando le somme del canone d’appalto e della cauzione, senza che la Ditta aggiudicataria possa
opporre eccezioni né avere titolo a risarcimento di danni.
-
Obblighi assicurativi.
La Ditta Aggiudicataria è tenuta all’esatta osservanza delle norme legislative e regolamenti
vigenti in materia di prevenzione degli infortuni sul lavoro e di assicurazioni degli operai contro gli
infortuni, nonché delle assicurazioni sociali (invalidità, vecchiaia, disoccupazione, ecc.).
-
Altri obblighi.
Il personale sarà chiamato a sottoporsi, con onere a carico della Ditta aggiudicataria, alle
eventuali periodiche visite, vaccinazioni ecc. previste dalle vigenti norme sanitarie e la Ditta
aggiudicataria dovrà produrre le relative certificazioni.
Gli addetti hanno l’obbligo di attenersi a tutte le norme inerenti alla sicurezza sul lavoro di
cui è direttamente ed esclusivamente responsabile la Ditta aggiudicataria.
Il personale in servizio dovrà mantenere un contegno corretto e dovrà essere di assoluta
fiducia e di provata riservatezza.
La Ditta aggiudicataria si impegna a richiamare, sanzionare e, se del caso, sostituire i
dipendenti che non osservassero una condotta irreprensibile. Le segnalazioni e le richieste
37
pervenute dai singoli Enti in questo caso saranno impegnative per la Ditta aggiudicataria.
Per quanto non espressamente previsto nel presente Capitolato si rinvia alla normativa
vigente in materia.
CAPO II. RISERVATEZZA.
Art. 57 - Trattamento e riservatezza dei dati in ambito Cloud.
Ai sensi di quanto previsto dal D.Lgs n. 196 del 30/6/2003 e s.m.i in tema di trattamento di
dati personali, le parti dichiarano di essersi preventivamente e reciprocamente informate, prima
della sottoscrizione del contratto derivante dal presente Capitolato e della esecuzione del servizio,
circa le modalità e le finalità dei trattamenti di dati personali.
L’Azienda Sanitaria esegue i trattamenti dei dati necessari alla esecuzione del contratto e dei
singoli ordinativi di fornitura, in ottemperanza ad obblighi di legge, ed in particolare per le finalità
legate al monitoraggio dei consumi ed al controllo della spesa dall’Azienda Sanitaria.
In ogni caso l’Azienda Sanitaria, aderendo al contratto con l’emissione dell’ordinativo di
fornitura o con altre modalità, dichiara espressamente di acconsentire al trattamento e all’invio dei
dati relativi alla fatturazione, rendicontazione e monitoraggio per le finalità connesse all’esecuzione
della contratto e dei singoli ordinativi di fornitura, in particolare, per quanto riguarda il
monitoraggio dei consumi e del controllo della spesa totale, nonché l’analisi degli ulteriori risparmi
di spesa ottenibili. I dati saranno trasmessi anche per via telefonica e/o telematica dalla Ditta
appaltatrice all’Azienda Sanitaria nel rispetto delle disposizioni di cui al D. Lgs. 13/05/1998, n. 171
e delle altre normative in vigore.
I trattamenti dei dati saranno improntati ai principi di correttezza, liceità e trasparenza e nel
rispetto delle misure di sicurezza.
Con la sottoscrizione del contratto, le parti dichiarano di essersi reciprocamente comunicate
tutte le informazioni previste dalla medesima normativa, ivi comprese quelle relative ai nominativi
del responsabile e del titolare del trattamento e le modalità di esercizio dei diritti dell’interessato
previste dal D. Lgs. 30/6/2003, n. 196.
Si informa che i soggetti o le categorie di soggetti che potranno venire a conoscenza dei dati
inerenti le offerte presentate sono: personale dell’Azienda Sanitaria implicato nel procedimento; i
concorrenti che partecipano alla gara, ogni altro soggetto interessato ai sensi della legge 241/90.
La Ditta si obbliga ad osservare e a far osservare la massima riservatezza su informazioni,
documenti o altro tipo di materiale provenienti dall’Azienda Sanitaria o da altri soggetti coinvolti
nell'espletamento del servizio; si obbliga, altresì, ad eguale riservatezza per tutti i risultati, anche
parziali, elaborati in qualsiasi forma (cartacea, informatica, ecc.) della propria attività, salvo che
l’Azienda Sanitaria ne indichi la diffusione, secondo le modalità giudicate più opportune.
Con l’aggiudicazione del servizio la Ditta, a mezzo del proprio Rappresentante Legale,
accetta la nomina quale Responsabile del trattamento, ai sensi dell’art. 29 del D.lgs 196/2003, che
verrà formalizzata mediante apposito atto sottoscritto contestualmente alla stipula del contratto ai
sensi dell’art. 46 “Stipula e termine del contratto”.
-
Riservatezza dei dati e subappalto.
La Ditta, con la sottoscrizione del contratto, quale soggetto ricevente di dati nell’ambito del
servizio offerto, assume il ruolo di “Importatore”, ai sensi della decisione della Commissione
Europea 2010/87/UE, e pertanto sarà l’unico responsabile della sicurezza dei dati anche in caso di
subappalto a terzi che comunque:
1. dovrà essere autorizzato per iscritto dall’Azienda Sanitaria (quale soggetto
38
“Esportatore”);
2. deve prevedere, per il subappaltatore, l’applicazione delle stesse clausole contrattuali
che è tenuto a rispettare l’Importatore;
3. deve prevedere che l’Importatore invii una copia del contratto, siglato con il
subappaltatore, all’Esportatore.
La Ditta si impegna altresì al completo rispetto delle clausole contrattuali quale soggetto
“Importatore” per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi
a norma della direttiva 95/46/CE del Parlamento Europeo e del Consiglio.
TITOLO VI. DISPOSIZIONI FINALI
CAPO I. ALTRI ADEMPIMENTI.
Art. 58 – Documentazione da produrre.
La Ditta dovrà produrre tutta la documentazione richiesta nel presente Capitolato Speciale di
Appalto nonché quella elencata nel Disciplinare di gara, oltre a quanto sia ritenuto necessario per la
corretta valutazione delle propria offerta.
Deve essere inoltre prevista la fornitura durante l'intera durata del servizio:
-
di atti, manuali, linee guida e modulistica per il servizio e tutta la documentazione prevista
dalla normativa;
dei manuali dei corsi di formazione che verranno svolti ai vari livelli professionali interni
dell’Azienda Sanitaria in fase di start up e ad ogni aggiornamento normativo significativo
in materia.
Art. 59 – Comunicazioni.
Le comunicazioni concernenti l’esecuzione del contratto possono essere effettuate
dall’Azienda Sanitaria sia a mezzo raccomandata A.R., sia a mezzo fax il cui ricevimento sarà
attestato dal rapporto di trasmissione, sia a mezzo posta elettronica certificata, indirizzate – ove non
espressamente indicata altra sede, per il procedimento di cui volta per volta si tratta – alla sede
legale o con consegna diretta al rappresentante legale munito di idonea procura o ad un suo
incaricato, attestata da apposita ricevuta firmata e datata.
Le comunicazioni della Ditta appaltatrice possono essere effettuate dalla stessa sia a mezzo
raccomandata A.R., sia a mezzo fax il cui ricevimento sarà attestato dal rapporto di trasmissione. Le
comunicazione dovranno essere indirizzate a:
Azienda ULSS n. 8 Asolo
U.O. Provveditorato-Economato.
Via Forestuzzo, 41
31011 Asolo (TV)
Fax: 0423/526151
39
Art. 60 - Foro competente.
In caso di controversie che determinino il ricorso all'autorità giudiziaria sarà competente
esclusivo ed inderogabile il Foro della sede dell’Azienda Sanitaria, con applicazione della legge
italiana, anche nel caso in cui l’infrastruttura utilizzata per l’erogazione dei servizi Cloud sia posta
in ambito UE.
Art. 61 - Norme di rinvio.
Per quanto non previsto dal presente Capitolato Speciale si fa rinvio al Codice Civile ed alla
disciplina normativa e regolamentare vigente in materia di appalti pubblici.
40
