La "Privacy" nell'Azienda Unità Sanitaria Locale di Ferrara
Sommario:
- Il Regolamento 8UE) 2016/679 relativo alla protezione della persone fisiche con riguardo al trattamento dei dati personali (c.d. “RGPD”).
- Il Responsabile della Protezione dei Dati Personali (RDP e/o DPO).
- La "Privacy Policy" in Azienda.
- Le informazioni all’interessato (art. 13 e 14 del RGPD)
- La normativa in materia di privacy e le policy aziendali
- Link utili.
1) Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (c.d. “RGDP”).
La nuova normativa in materia di protezione dei dati personali è costituita principalmente dal Regolamento Generale sulla Protezione dei Dati (Regolamento UE 679/2016).
Il RGDP evidenzia sin dal principio che "la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale" e che "protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali".Una delle principali novità introdotte dal RGDP è il principio di "responsabilizzazione" (cd. accountability) che, con un approccio basato principalmente sulla valutazione dei rischi per i diritti e le libertà degli interessati, attribuisce ai Titolari del trattamento (quindi anche all’Azienda Unità Sanitaria Locale di Ferrara) il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali, nonché quello di adottare le misure ritenute a ciò più idonee e adeguate.
Ciò ha imposto anche a questa Azienda di adottare un nuovo approccio nel trattamento dei dati personali, tanto degli utenti che accedono alle strutture aziendali, quanto degli operatori che vi lavorano, nonché dei visitatori telematici delle pagine web di pertinenza aziendale.
In particolare, sono previsti in capo all'Azienda/Titolare del trattamento nuovi adempimenti e un'intensa attività di adeguamento alla normativa comunitaria, obiettivi non semplici in una realtà sanitaria di grandi dimensioni, in cui quotidianamente vengono trattati migliaia di dati estremamente delicati come quelli riguardanti la salute delle persone.
Proprio per questo è in continuo divenire un percorso applicativo in materia di protezione dei dati, che consenta di mettere a punto un sistema stabile a presidio permanente dei diritti degli interessati coinvolti.
2) Il Responsabile della Protezione dei Dati
L'art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali»
In ottemperanza a tale disposizione l'Azienda ha designato il Responsabile della protezione dei dati (“RPD”, comunemente chiamato anche “DPO”), soggetto che riferisce direttamente al Titolare, che opera in posizione di indipendenza e autonomia e che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali trattati all’interno dell’Azienda, a garanzia di qualità del risultato del processo di adeguamento in atto.
Il Responsabile della Protezione dei Dati, in particolare, ha le seguenti funzioni principali:
a) informa e fornisce consulenza all’Azienda e ai suoi dipendenti sugli obblighi derivanti dal RGPD e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
b) sorveglia l'osservanza del RGPD, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche dell’Azienda USL in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornisce, se richiesto dall’Azienda e dal suo personale, un parere in merito alla valutazione d'impatto sulla protezione dei dati e ne sorveglia lo svolgimento;
d) cooperare con l'autorità di controllo competente (per l’Italia il Garante per la protezione dei dati personali) e funge da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettua, se del caso, consultazioni relativamente a qualunque altra questione.
Il Responsabile designato è contattabile attraverso l’indirizzo email dpo@ausl.fe.it.
Il personale dell’Azienda Sanitaria può contattare il DPO anche al numero abbreviato 18486.
Il DPO riceve tutti i mercoledì, dalle ore 8,00 alle ore 12,00, presso l'Azienda Usl - Via Cassoli n. 30, Ferrara - IV piano - previo appuntamento da richiedere scrivendo all'indirizzo e mail dpo@ausl.fe.it
3) La "Privacy Policy" in Azienda.
L'Azienda USL di Ferrara ha attuato una serie di percorsi organizzativi per adeguare la propria attività e le proprie strutture alle disposizioni contenute nel RGDP e nel D.Lgs. 196/2003.
L'Azienda, in particolare , ha predisposto un percorso applicativo in materia di protezione dei dati, che consente di mettere a punto un sistema stabile a presidio permanente della tematica approvando con delibera n. 44 del 28.02.2020 il REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI NELL’AZIENDA USL DI FERRARA (REGOLAMENTO UE 2016/679 E D.LGS. 30.06.2003 N. 196).
Con il già menzionato atto si è inteso individuare i soggetti nominati (o da nominare in futuro) Responsabili, tanto all’interno dell’Azienda (es. Direttore Sanitario e Direttore Amministrativo) quanto in relazione ai processi di esternalizzazione di servizi (es. per gli affidatari di servizi concessi in appalto, contratto e/o convenzione).
Si sono quindi individuati i referenti per il trattamento dei dati (es. Direttori di Unità Operativa, i Dirigenti titolari di strutture in staff alla direzione, nonché altri Dirigenti espressamente individuati con delibera del Direttore Generale).
Sono state inoltre pedissequamente determinate le modalità per l’individuazione dei soggetti ex art. 29 RGPD e 2-quaterdecies D.Lgs. 196/2003, cioè i dipendenti-collaboratori autorizzati a trattare dati personali di titolarità dell’Azienda, secondo le istruzioni legittimamente impartite.
Con l’ausilio della consulenza del Responsabile della Protezione dei Dati, si provvede regolarmente, con scadenza almeno annuale, alla verifica della necessità di procedere alla revisione e all’eventuale aggiornamento del Regolamento aziendale.
Sono state enumerate, con un elenco aperto, le tipologie di informative da fornire all’interessato in base alla finalità della raccolta dei dati nel caso concreto, tenuto conto anche delle forme con le quali le stesse possono essere rese, e sono state chiarite le modalità per rendere effettivo l’esercizio dei diritti da parte dell’interessato. Uno specifico approfondimento è stato dedicato poi alle misure di sicurezza da applicare.
4) Le informazioni all’interessato (art. 13 e 14 del RGPD)
L’Azienda USL è tenuta a informare l’interessato dei requisiti previsti dagli articoli 13 e 14 del RGPD. Di seguito potrà prendere visione e, nel caso, salvare e/o stampare le informative elaborate dall’Azienda per ciascun trattamento svolto dall’Azienda.
Informativa di carattere generale (pazienti)
Informativa semplificata per i pazienti
Informativa in materia di videosorveglianza
Informativa per i fornitori
5) La normativa in materia di privacy e le policy aziendali
- Procedura per la gestione dei casi di violazione dei dati personali (c.d. Data Breach)
6) Link utili:
Collegati al sito del Garante per la Protezione dei Dati Personali
Testo del Codice in materia di Protezione dei Dati Personali
Testo del Regolamento (UE) 2016/679