Dal 25 maggio 2018 è direttamente applicabile in ciascuno degli stati membri dell’Unione Europea il Regolamento (UE) 2016/679”Regolamento Generale sulla Protezione dei Dati –RGPD.
Il Regolamento impone a tutte le organizzazioni un radicale cambio di impostazione delle strategie di protezione del dato personale, incentrato sulla “responsabilizzazione” del Titolare del trattamento (quindi anche dell’Azienda Usl Toscana sud est), che deve essere in grado di dimostrare in qualsiasi momento l’adozione delle necessarie misure tecniche ed organizzative per garantire un adeguato livello di sicurezza dei trattamenti effettuati, a partire da una preventiva analisi del rischio inerente il trattamento da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati.

In  particolare il Regolamento ha introdotto:

Sono dunque previsti in capo all’Azienda/Titolare del trattamento nuovi adempimenti e un’intensa attività di adeguamento alla normativa comunitaria, obiettivi non semplici in una realtà sanitaria di grandi dimensioni, ove quotidianamente vengono trattati i dati di salute degli utenti che accedono alle strutture aziendali ma anche i dati del personale che vi lavora.

Proprio per questo è’ stato avviato un percorso applicativo che consenta di strutturare le soluzioni organizzative, funzionali, procedurali a presidio stabile del modello aziendale di data protection, anche alla luce dell’ avvenuto adeguamento alla disciplina comunitaria del Codice Privacy di cui al d.lgs n. 196/2013 per effetto del d.lgs n.101/2018.

Come richiesto dal RGPD, l’Azienda ha designato il Responsabile della Protezione dei Dati (RPD)soggetto che riferisce direttamente al Titolare, e che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati, quale consulente e supervisore del processo di adeguamento in atto. Il RPD, oltre a curare  i rapporti con l’Autorità di controllo sulla materia, supporta il Titolare del trattamento nell’assolvimento dei corretti adempimenti normativi, fornisce indicazioni  e consulenza alle strutture aziendali, svolge attività di sorveglianza sulla conformità del complesso delle attività dell’Azienda al RGPD.

Con deliberazione 28 febbraio 2019, n.332 sono state assunte determinazioni inerenti l’assetto organizzativo e la funzionalità del Sistema Aziendale Data Protection, quali azioni di adeguamento al RGPD al fine di rispettarne gli obblighi organizzativi, documentali e tecnici, con l’obiettivo di attuare la piena e consapevole applicazione del nuovo quadro normativo in materia di trattamento dei dati personali. In particolare:
sono stati individuati i soggetti autorizzati al trattamento per espressa designazione del Titolare (art. 2 quaterdecies, comma 1, d.lgs. 196/2003), denominati Preposti al trattamento dei dati e identificati i nei seguenti livelli direzionali e tipologie di incarico di direzione di struttura:
    • Direttore Sanitario
    • Direttore Amministrativo
    • Direttore dei Servizi sociali
    • Direttore di Dipartimento
    • Direttore di Area Funzionale Dipartimentale
    • Direttore di Staff
    • Direttore di Area di Staff
    • Direttore di Presidio Ospedaliero
    • Responsabile di Stabilimento Ospedaliero
    • Direttore di Zona distretto
    • Direttore di Unità Operativa complessa
    • Direttore di Unità Operativa Semplice Dipartimentale
    • Direttore di Unità Funzionale

  • sono stati analiticamente specificati compiti e funzioni dei Preposti al trattamento dei dati

  • è stato stabilito che i Preposti procedano a nominare “Incaricati del trattamento dei dati”i dipendenti/collaboratori ad altro titolo operanti all’interno delle rispettive strutture e sotto le proprie direttive, quali soggetti autorizzati al trattamento di dati personali nell’ambito delle loro specifiche competenze, utilizzando apposito modello aziendale.
Tenuto conto delle dimensioni e della complessità organizzativa dell’Azienda, con la stessa delibera i Direttori delle strutture funzionali di massima dimensione (Staff, Dipartimento, Presidio Ospedaliero, Zona Distretto) sono stati individuati quali Preposti Referenti e delegati dal Titolare alla vigilanza, vigilanza, monitoraggio e controllo sulla corretta applicazione da parte dei Preposti al trattamento afferenti la macrostruttura delle disposizioni del RGPD e del d.lgs 196/2003, delle prescrizioni dell’Autorità Garante, delle istruzioni/ direttive impartite dal Titolare e/o dal Responsabile della Protezione dei Dati.
Quale misura organizzativa a supporto del Preposti Referenti è stata prevista la figura del Referente Data Protection di macrostruttura, focal point della macrostruttura di riferimento nella gestione operativa delle attività connesse al trattamento dei dati, anche in relazione alle novità introdotte al RGPD (supporto all’’implementazione e aggiornamento del Registro delle attività di trattamento, all’effettuazione della Valutazione di Impatto Privacy, alla gestione del data breach)

E’ stato, infine, istituito il “Comitato Data Protection”, organismo tecnico permanente di natura interdisciplinare con compiti di indirizzo, coordinamento, analisi e controllo coerenti con il principio di “accountability” previsto dal RGPD in capo al Titolare, e con funzioni operative di supporto e proposta al Titolare di soluzioni ai problemi applicativi del RGPD.