REGISTRO ITALIANO DIALISI E TRAPIANTO E REGISTRI REGIONALI: CONDIVISIONE DEI DATI E NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Dott. Filippo Lorè Consulente Privacy
PRENDERSI CURA DEL PAZIENTE OGGI..significa prendersi cura anche dei suoi dati
PRIVACY INTESA COME IMPOSIZIONE NORMATIVA OPPORTUNITÀ
QUAL È LA MISSIONE?
DEFINITA LA MISSIONE, QUALI LE AZIONI DA METTERE IN ATTO? DEFINZIONE DI UN ORGANIGRAMMA PRIVACY ALLINEAMENTO TRA REGOLE E COMPORTAMENTI FORMALI RIPARTIZIONE DI COMPITI E RESPONSABILITÀ STUDIO, CONFRONTO E DIFFUSIONE SULLE AZIONI DA ADOTTARE
CONTINUA COMUNICAZIONE TRA TITOLARE, REPONSABILI E INCARICATI DI PIÙ STRUTTURE SANITARIE AL FINE DI CONDIVIDERE LE «BUONE PRATICHE»
IL RAPPORTO TRA L AUTORITÀ GARANTE E LA SIN IL PROVVEDIMENTO DEL 16/01/2014 (lettera c) FORMULARE IL MODELLO DI INFORMATIVA RISPONDENTE ALLA NORMATIVA PRIVACY DISTRIBUIRE IL MODELLO DELL INFORMATIVA AI RESPONSABILI «RR» ATTIVITÀ DI VERIFICA NEI CENTRI DIALISI TERRITORIALI. INFORMATIVA E CONSENSO DEVONO PREVEDERE LA COMUNICAZIONE ALLA SIN E POI ALL ERA-EDTA SICUREZZA DEI DATI ATTRAVERSO L ADOZIONE DI PROTOCOLLI SICURI (AD ES. HTTPS/SSL) INFORMATIVA E CONSENSO ATTIVITÀ DI AUDIT PER INFORMATIVA E CONSENSO ADOZIONE MISURE DI SICUREZZA
Chi sono gli attori principali?
STRUTTURA PIRAMIDALE TITOLARE RESPONSABILE INCARICATO DIRITTI DELL INTERESSATO (ART. 7 DEL CODICE)
PARERE FAVOREVOLE DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI SUL REGOLAMENTO DELLA REGIONE VENETO CHE DISCIPLINA IL FUNZIONAMENTO DEL REGISTRO DIALISI
QUALI SONO LE RELAZIONI TRA GLI ATTORI PRINCIPALI? TITOLARE RESPONSABILE DELEGA DI FUNZIONI (ATTO SCRITTO) DELEGA DI ESECUZIONE (ATTO SCRITTO) RESPONSABILE INCARICATO RESPONSABILE, COLUI CHE POSSIEDE I REQUISITI DI PROFESSIONALITÀ ED ESPERIENZA RICHIAMATI DAL LEGISLATORE INCARICATO, PERSONA FISICA CHE MATERIALMENTE ESEGUE LE OPERAZIONI DI TRATTAMENTO DI DATI PERSONALI
COS È UN REGOLAMENTO DA UN PUNTO DI VISTA PRIVACY? UN INSIEME DI NORME EMANATE DA UN ORGANIZZAZIONE PUBBLICA O PRIVATA INTESE A DISCIPLINARE UNA SPECIFICA ATTIVITÀ ATTRAVERSO L ADOZIONE DI REGOLE CHE NE DISCIPLINANO IL FUNZIONAMENTO. DOCUMENTO DI NATURA ORGANIZZATIVA, «GUIDA PRATICA» SOTTO IL PROFILO DELLA TUTELA DEI DATI PERSONALI. NON OBBLIGATORIO, MA FORTEMENTE CONSIGLIATO
COSA DISCIPLINA UN REGOLAMENTO SOTTO IL PROFILO DELLA TUTELA DEI DATI PERSONALI? AMBITO DI APPLICAZIONE OGGETTO DEL REGOLAMENTO FINALITÀ DEL TRATTAMENTO DEI DATI COMUNICAZIONE DEI DATI SOGGETTI AUTORIZZATI AL TRATTAMENTO DEI DATI DISCIPLINARE TECNICO MISURE DI SICUREZZA INFORMAZIONE AGLI INTERESSATI
COME RACCOGLIERE I DATI DEL REGISTRO? ELEMENTI TASSATIVAMENTE PREVISTI DALL ART. 13 DEL CODICE PRIVACY NOTA INFORMATIVA ALL INTERESSATO CONSENSO INFORMATO ALLA COMUNICAZIONE DEI DATI CONSENSO INFORMATO AL TRATTAMENTO DEI DATI PERSONALI REGISTRO ITALIANO DIALISI E TRAPIANTO REGISTRO EUROPEO DIALISI E TRAPIANTO SI NO, IN PRESENZA DI UN OBBLIGO DI LEGGE, REGOLAMENTO O NORMATIVA COMUNITARIA
Le disposizioni del Codice Privacy in materia di sicurezza. Chiunque tratti dati personali è tenuto ad adottare le misure di sicurezza necessarie a garantire che ai dati stessi possano accedere solo le persone appositamente autorizzate, con lo scopo finale di tutelare concretamente e preventivamente la riservatezza e la protezione dei dati personali. Distinzione essenziale sotto il profilo sanzionatorio MISURE DI SICUREZZA (artt. 31-32-bis del Codice): l adozione di tali accorgimenti, rimessa ad una valutazione discrezionale del titolare del trattamento dei dati personali, è da effettuarsi secondo un parametro di idoneità stabilito dalla legge. MISURE MINIME DI SICUREZZA (artt.31-36 e Disciplinare tecnico Allegato B al Codice): l adozione è obbligatoria al ricorrere di determinate condizioni stabilite dalla legge.
QUALI SONO GLI EVENTI DA SCONGIURARE? DISTRUZIONE O PERDITA I soggetti che trattano i dati devono adottare misure che consentano di evitare che un dato possa andare perso. (Es. dati contenuti in un cartella clinica o dati relativi a pazienti che devono ricevere un organo). UTILE Procedure di back up e di disaster recovery al fine di evitare gli eventi sopra descritti. ACCESSO NON AUTORIZZATO Le procedure di sicurezza dei dati auspicate, devono consentire l accesso alle sole persone autorizzate, ovvero agli incaricati del trattamento. Si sarà in presenza di accesso non autorizzato quando non sono state attribuite preliminarmente funzioni e compiti. ATTACCHI ESTERNI Hakers,puniti ai sensi dell art.615-ter c.p. TRATTAMENTO NON CONSENTITO Questa terza ipotesi è la più ampia; il rischio, infatti, riguarda il trattamento contrario alla legge o effettuato per finalità diverse da quelle esplicitate all interessato in ambito dell informativo e del consenso informato.
QUALI NOVITÀ CON IL NUOVO REGOLAMENTO EUROPEO? UNA NUOVA ERA 25 MAGGIO 2018 COMPETENZA TERRITORIALE DIRITTI DEGLI INTERESSATI PRINCIPIO «ACCOUNTABILITY» IMPIANTO SANZIONATORIO PRIVACY BY DESIGN AUTORITÀ DI CONTROLLO VALUTAZIONE IMPATTO PRIVACY CERTIFICAZIONE DATA PROTECTION OFFICER
«ACCOUNTABILITY»: RESPONSABILIZZAZIONE (ART.24 REGOLAMENTO) TITOLARE DEL TRATTAMENTO Cambia l atteggiamento culturale e di approccio, non più formale ma sostanziale «METTE IN ATTO MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE PER GARANTIRE IL RISPETTO DEL NUOVO REGOLAMENTO» (COMPLIANCE) IL RISPETTO DEGLI OBBLIGHI NORMATIVI PUÒ ESSERE DIMOSTRATO ATTRAVERSO L ADESIONE A CODICI DI CONDOTTA (ART.40)
PRIVACY BY DESIGN (art.25 del Regolamento) PRIVACY BY DESIGN Qualsiasi attività deve tener conto della disciplina in materia di protezione dei dati personali sin dalla fase di progettazione PRIVACY BY DEFAULT Il titolare presta attenzione all intero ciclo di vita dei dati personali come impostazione predefinita CERTIFICAZIONE Un meccanismo di certificazione (da definire) può essere utilizzato per dimostrare la conformità ai principi dell art. 25
CHI È IL DATA PROTECTION OFFICER?
COMPITI DEL DATA PROTECTION OFFICER (RESPONSABILE PRIVACY) CONSULENZA AL TITOLARE E AL RESPONSABILE CIRCA GLI OBBLIGHI DEL REGOLAMENTO -VIGILARE L OSSERVANZA DEL REGOLAMENTO, LE POLITICHE ATTUATE -FORMAZIONE DEL PERSONALE FORNIRE UN PARERE SULLA VALUTAZIONE D IMPATTO PRIVACY COOPERAZIONE CON L AUTORITÀ DI CONTROLLO COOPERAZIONE CON L AUTORITÀ NEI CASI IN CUI È PREVISTA LA CONSULTIAZION E PREVENTIVA
IL NUOVO QUADRO SANZIONATORIO
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, AUTORITÀ DI CONTROLLO APERTA AL CONFRONTO E AL SUPPORTO
QUALCHE APPUNTO SUL NUOVO REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI (in fieri)
GRAZIE!!!