Dal 25 maggio 2018 è direttamente applicabile in ciascuno degli stati membri dell’Unione Europea il Regolamento (UE) 2016/679 "Regolamento Generale sulla Protezione dei Dati – RGPD".
Il Regolamento impone a tutte le organizzazioni un radicale cambio di impostazione delle strategie di protezione del dato personale, incentrato sulla “responsabilizzazione” del Titolare del trattamento (quindi anche dell’Azienda Usl Toscana sud est), che deve essere in grado di dimostrare in qualsiasi momento l’adozione delle necessarie misure tecniche ed organizzative per garantire un adeguato livello di sicurezza dei trattamenti effettuati, a partire da una preventiva analisi del rischio inerente il trattamento da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati.
In particolare il Regolamento ha introdotto:
- la nuova figura del Responsabile della protezione dei dati (Data Protection Officer o RPD);
- nuovi documenti come la Valutazione d'impatto sulla protezione dei dati;
- nuove linee per realizzare la protezione del dato "by default" (ovvero come impostazione predefinita dell'organizzazione aziendale), e "by design" (la protezione dei dati deve avvenire fin dal disegno o progettazione di un processo aziendale);
- nuove disposizioni sulla violazione di dati personali (cd data breach).
Proprio per questo è stato avviato un percorso applicativo che consenta di strutturare le soluzioni organizzative, funzionali, procedurali a presidio stabile del modello aziendale di data protection, anche alla luce dell’ avvenuto adeguamento alla disciplina comunitaria del Codice Privacy di cui al d.lgs n.196/2013 per effetto del d.lgs n.101/2018.
Come richiesto dal RGPD, l’Azienda ha designato il Responsabile della Protezione dei Dati (RPD) soggetto che riferisce direttamente al Titolare, e che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati, quale consulente e supervisore del processo di adeguamento in atto. Il RPD, oltre a curare i rapporti con l’Autorità di controllo sulla materia, supporta il Titolare del trattamento nell’assolvimento dei corretti adempimenti normativi, fornisce indicazioni e consulenza alle strutture aziendali, svolge attività di sorveglianza sulla conformità del complesso delle attività dell’Azienda al RGPD.
Con deliberazione 28 febbraio 2019, n.332 sono state assunte determinazioni inerenti l’assetto organizzativo e la funzionalità del Sistema Aziendale Data Protection, quali azioni di adeguamento al RGPD al fine di rispettarne gli obblighi organizzativi, documentali e tecnici, con l’obiettivo di attuare la piena e consapevole applicazione del nuovo quadro normativo in materia di trattamento dei dati personali.
In particolare:
- sono stati individuati i soggetti autorizzati al trattamento per espressa designazione del Titolare (art. 2 quaterdecies, comma 1, d.lgs. 196/2003), denominati Preposti al trattamento dei dati e identificati i nei seguenti livelli direzionali e tipologie di incarico di direzione di struttura:
- Direttore Sanitario
- Direttore Amministrativo
- Direttore dei Servizi sociali
- Direttore di Dipartimento
- Direttore di Area Funzionale Dipartimentale
- Direttore di Staff
- Direttore di Area di Staff
- Direttore di Presidio Ospedaliero
- Responsabile di Stabilimento Ospedaliero
- Direttore di Zona distretto
- Direttore di Unità Operativa complessa
- Direttore di Unità Operativa Semplice Dipartimentale
- Direttore di Unità Funzionale
- sono stati analiticamente specificati compiti e funzioni dei Preposti al trattamento dei dati
- è stato stabilito che i Preposti procedano a nominare “Incaricati del trattamento dei dati” i dipendenti/collaboratori ad altro titolo operanti all’interno delle rispettive strutture e sotto le proprie direttive, quali soggetti autorizzati al trattamento di dati personali nell’ambito delle loro specifiche competenze, utilizzando apposito modello aziendale.
Quale misura organizzativa a supporto del Preposti Referenti è stata prevista la figura del Referente Data Protection di macrostruttura, focal point della macrostruttura di riferimento nella gestione operativa delle attività connesse al trattamento dei dati, anche in relazione alle novità introdotte al RGPD (supporto all’implementazione e aggiornamento del Registro delle attività di trattamento, all’effettuazione della Valutazione di Impatto Privacy, alla gestione del data breach).
È stato, infine, istituito il “Comitato Data Protection”, organismo tecnico permanente di natura interdisciplinare con compiti di indirizzo, coordinamento, analisi e controllo coerenti con il principio di “accountability” previsto dal RGPD in capo al Titolare, e con funzioni operative di supporto e proposta al Titolare di soluzioni ai problemi applicativi del RGPD.
Documenti:
- Atto nomina responsabile consegna presidi a domicilio
- Delibera 332/2019 Adeguamento Sistema Aziendale Data Protection
- Compiti e istruzioni per i Preposti al trattamento dei dati
- Modello nomina incaricato del trattamento dei dati
- Modulo incaricati agg. 2020
- Elenco Preposti al trattamento dei dati - 2021
- Atto giuridico nomina Responsabile art.28 RGPD
- Nomina responsabile Allegato 1
- Nomina responsabile Allegato 2 MTO
- Nomina responsabile Allegato 3
- Nomina responsabile Allegato 4
- Procedura Data Breach
- Scheda evento preposto
- Scheda evento responsabile DB
- Notifica al Garante
- Registro violazioni