Giugno 25, 2019
GDPR: adeguarsi è un obbligo di legge
Trascorso più di un anno dall’entrata in vigore del Regolamento generale sulla protezione dei dati personali (UE) 2016/679, che ha rinnovato la cosiddetta legge sulla privacy, ogni imprenditore ha il dovere di domandarsi se la propria azienda, piccola o grande che sia, ha messo in atto tutte le specifiche dettate dalla nuova normativa.
In estrema sintesi il “dato personale”, cioè le informazioni che identificano o rendono identificabile una persona fisica, cuore della nuova normativa, nel momento in cui subisce un “trattamento” cioè qualsiasi operazione effettuata sullo stesso come la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, ecc. è degno di tutta una serie di tutele a partire da una serie di principi generali come la trasparenza e la correttezza ma soprattutto sulla liceità del trattamento basata sul “consenso” validamente prestato attraverso firma o clic online.
Un staff di specialisti con la direzione dell’Avv. Giuseppe Sparano è pronto a difendere la Vostra azienda e
proiettarla nel mondo dei social quale veicolo commerciale.
Fase 1 – Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
Fase 2 – Creazione del registro dei trattamenti: documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;
Fase 3 – Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
Fase 4 – Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
Fase 5 – Definizione delle politiche di sicurezza e valutazione dei rischi: valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability);
Fase 6 – Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;
Fase 7 – Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
Fase 8 – Implementazione dei processi per l’esercizio dei diritti dell’interessato;
Fase 9 – Individuazione e nomina di un Data ProtectionOfficer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Come noto, il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali.In particolare, l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative: nel primo gruppo rientrano le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente e il secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
p.Avv. Lorenzo Sparano
https://www.studiolegalesparano.it/
Via Chiatamone 6, Napoli (80121) tel:0812471130
Cell. 3334455517 Mail: lorenzo.sparano@gmail.com
Maggio 14, 2019
LA SANITA’ alla luce del GDPR
Avv. Giuseppe Sparano – Studio in Napoli alla Via Chiatamone n. 6 – tel. 081 2471130
con struttura specializzata per l’adeguamento al Regolamento europeo GDPR e per le tutele dei dati personali
ARTICOLO – aprile 2019
LA SANITA’ alla luce del GDPR
Sul presupposto che il Garante italiano ha emesso il 25.3.2019 la NEWSLETTER N. 451.
I destinatari sono tutti gli operatori sanitari.
Tra questi è precisato che i medici possono trattare i dati dei pazienti per finalità di cura senza il preventivo rilascio del consenso.
E’ invece richiesto il consenso quando tali trattamenti non sono strettamente necessari per le finalità di cura (ad esempio i trattamenti di dati sulla salute connessi all’uso di “App” mediche, ad eccezione di quelle per la telemedicina, quelli effettuati per la fidelizzazione della clientela, oppure per finalità promozionali, commerciali o altro). Il consenso è sempre necessario per il trattamento dei dati relativo al fascicolo sanitario elettronico o ad esempio per la consultazione di referti online.
I doveri alla completa informativa sull’uso dei dati è confermato e la mancata o non adeguata sua applicazione comporta sanzioni civili, amministrative e disciplinari.
L‘ informativa può avvenire o a mezzo di stampati da consegnare ai pazienti o meglio a mezzo di esposizione della stessa nei locali degli studi medici (massima attenzione va posta nella loro redazione soprattutto quando nelle medesime strutture operano più medici). L’ informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Deve comprendere i tempi di conservazione dei dati che, se non sono specificati dalla normativa di settore, dovranno comunque essere individuati dal singolo operatore a seconda dei casi (medico di base, specialista, operatore sanitario, ecc).
E’ obbligatorio per tutti gli operatori sanitari la tenuta del registro nel quale elencare le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta, in ogni caso, un elemento essenziale per il “governo dei trattamenti” e per l’efficace individuazione di quelli a maggior rischio, così come per dimostrare il rispetto del principio di responsabilizzazione (accountability). E’ consigliabile rivolgersi ad un consulente esperto che effettui le prescritte preliminari valutazioni e che attui una corretta tenuta e gestione del detto registro.
I medici che operano come liberi professionisti non sono tenuti a nominare il Responsabile della protezione dei dati. E’ invece obbligatoria la sua nomina per tutti gli operatori sanitari che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura e per quelli pubblici. Le scelte per dette nomine vanno indirizzate verso soggetti che possano effettivamente garantire sul piano professionale le prerogative richieste dalla normativa.
