Regolamento europeo in materia di protezione dei dati personali 2016/679

Data
Fonte
UOC Affari Generali e Legali

Dopo il lungo iter di approvazione, il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali 2016/679 e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Il Regolamento, vigente 20 giorni dopo la pubblicazione in GUUE, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, è vigente dal 5 maggio 2016, e da qual momento impegna gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro due anni.

Il Regolamento europeo (GDPR), che mira principalmente ad adeguare le norme di protezione dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie, “porta grandi novità sul piano della tutela dei diritti e degli strumenti previsti per responsabilizzare maggiormente le imprese stabilendo, al contempo, significative semplificazioni” “…soprattutto raggiunge l’ambizioso obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando definitivamente le numerose assimetrie che si erano create nel tempo”, come spiega il Garante.

Il nuovo Regolamento europeo lascia gli Stati membri liberi di adattare, quando possibile, i principi e le disposizioni previste con quelli applicati nei singoli Stati e rinnova alla luce delle nuove istanze, soprattutto tecnologiche, i consolidati principi che avevano portato all’adozione della direttiva 95/46/UE e ne introduce di nuovi.

Anche lo sviluppo normativo in ambito europeo conferma come sia ormai imprescindibile il cammino, già delineato, verso il cambiamento di mentalità che porti alla piena tutela della privacy, da considerare non solo come un oneroso rispetto di adempimenti burocratici, ma, soprattutto, come garanzia, per il cittadino che si rivolge alle strutture sanitarie, di una riservatezza totale dal punto di vista reale e sostanziale.

Il diritto alla privacy è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità.

Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, principalmente fra gli operatori della sanità, perché solo con la conoscenza minima dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensì di contribuire concretamente al miglioramento della qualità del rapporto con l’Utenza.

I nuovi adempimenti previsti dal Regolamento comportano una intensa attività di organizzazione a carico delle amministrazioni pubbliche.

Il Garante per la protezione dei dati personali suggerisce a quest’ultime, attraverso una scheda informativa, di avviare con assoluta priorità:

  • la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39), noto anche con l’acronimo inglese “DPO” (Data Protection Officer); 
  • l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171); 
  • la notifica delle violazioni dei dati personali (c.d. Data Breach, artt. 33 e 34).

Con la deliberazione n. 416/2018 l’azienda, nel contesto di adesione ad una specifica iniziativa regionale, ha provveduto a nominare il RPD, successivamente confermato con la deliberazione 264/2019. 

Il Responsabile della Protezione dei dati personali (RPD o Data Protection Officer) è: l’avv. Piergiovanni Cervato, contattabile al numero di telefono 049/714975 e all’indirizzo email: rpd@aulss4.veneto.it.  

In questa pagina è, quindi, descritto l’intero percorso di adeguamento che l’ULSS n. 4 ha intrapreso per ottemperare alle previsioni europee e sono disponibili i principali riferimenti normativi, gli opuscoli descrittivi del Garante Privacy, la documentazione aziendale in materia di disciplina della protezione dei dati personali aggiornato o in corso di aggiornamento e tutti gli allegati tecnici e le nuove modulistiche aziendali.

Si precisa che gli allegati tecnici e le modulistiche potranno essere oggetto di ulteriori modifiche ed aggiornamenti in base alle novità legislative, e alle deliberazioni aziendali, che potranno nel frattempo sopravvenire.


Istituzione del registro dei trattamenti

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30 del RGPD. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Con la deliberazione 416/2018 l’azienda ha istituito il registro dei trattamenti i cui contenuti sono stati implementati da ultimo con deliberazione n. 620/2019.  

Il sistema di organizzazione aziendale ad ogni trattamento sono preposti uno o più delegati aziendali corrispondenti alle figure apicali delle unità operative complesse e semplici a valenza dipartimentale.

Vai all’elenco dei delegati al trattamento dei dati in base all’organizzazione aziendale.


Data Breach

Ogni Interessato, utilizzando l’apposito indirizzo mail può segnalare al Titolare e al Data Protection Officer un possibile caso di violazione dei dati personali.

In tali casi l’Azienda avvia le necessarie procedure e, avvalendosi della collaborazione dei Responsabili del trattamento, accerta l’effettivo stato dell’arte.

L’ULSS provvede a notificare attraverso il Data Protection Officer la violazione all'Autorità Garante Privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà degli Interessati.

Vai alla procedura aziendale in tema di data breach.

Informativa

Informativa generale aziendale (DE)(ENG)

Informativa sorveglianza sanitaria COVID

Informativa integrativa agli utenti e al personale sul trattamento dei dati personali in relazione alle misure per il contrasto e il contenimento della diffusione del virus Covid-19

Informativa privacy semplificata in merito alle misure di contrasto e contenimento della diffusione del Covid-19 in Fase2 per accesso ai locali aziendali

Video informativo Azienda ULSS 4 Veneto Orientale (DE)(ENG)   (mp4)


Casi particolari       

Il Garante ha comunque confermato, nella sostanza, i requisiti indicati nei propri provvedimenti in materia di bilanciamento di interessi con particolare riferimento agli esiti delle verifiche preliminari condotte dall'Autorità; tra questi, quello relativo al trattamento dei dati mediante videosorveglianza.
Vai all’informativa generale in tema di videosorveglianza.

 

Informazioni ed esercizio dei diritti

Per informazioni e per l’esercizio dei diritti di cui agli artt. 15 e seguenti del RGPD è possibile prendere visione della procedura aziendale in materia ed utilizzare la modulistica annessa.


Fascicolo Sanitario Elettronico regionale (Fser)

Vai alla pagina illustrativa dei contenuti del Fascicolo Sanitario.

Vai all’informativa privacy del Fascicolo.


Riferimenti ulteriori