Stampa questa pagina

Normativa e privacy

Informative

Privacy in breve

L'Ospedale Evangelico Internazionale  permea la propria attività alla disciplina dettata dal Regolamento CE n. 679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, entrato in vigore il 25 maggio 2018,  relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento) e dal D.Lgs. 30 giugno 2003, n. 196 (Testo Unico Codice Privacy), come novellato dal “Decreto di Raccordo” D. Lgs 101/2018.
Ai sensi delle prescrizioni di cui ai sopracitati Regolamento e Codice Privacy novellato, i trattamenti effettuati dall'Ente saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza (articolo 5 Regolamento UE 2016/679). La normativa comunitaria ridisegna la disciplina in materia di privacy basandola sul principio di responsabilizzazione o accountability, che impone agli enti una gestione aziendale responsabile che tenga conto dei rischi connessi all’attività svolta e che sia idonea a garantire la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento e dalla legislazione nazionale.
Conformemente a quanto prescritto dal Regolamento (Art. 37-38) e come estrinsecazione ed attuazione del principio di accountability l'OEI ha provveduto alla nomina del Responsabile per la Protezione dei Dati (RPD o DPO, acronimo inglese Data Protection Officer) con susseguente notifica al Garante per la Protezione dei Dati Personali. Tale figura ha un ruolo di garanzia sulla corretta interpretazione ed applicazione della disciplina privacy  in ambito aziendale e nella realtà organizzativa presso cui opera. Tra i sui compiti rientra la sorveglianza e controllo su osservanza del Regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati e sulle attribuzioni di responsabilità nonché una pregnante attività di sensibilizzazione, formazione e attività di controllo. Il RPD è a disposizione per qualunque informazione inerente il trattamento dei dati personali svolto dall'Ente ed è contattabile tramite email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti dal Codice privacy (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Particolare attenzione viene, altresì, riservata dall’OEI alla tutela dei diritti dell’interessato. All’interessato sono riconosciuti numerosi diritti. Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità.

La tutela dei diritti si esplicita in comportamenti e in misure tecniche e organizzative eventualmente necessarie per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati:
Prima di procedere al trattamento effettuare un’attenta valutazione sui diritti ad esso collegati, quali devono essere garantiti e le relative procedure connesse.

  • Informare gli interessati in modo chiaro tramite l’informativaindicando chiaramente come è possibile esercitarli, non dovranno esserci rimandi ad articoli ma descritta la modalità con cui gli interessati possono farli valere.
  • Agevolare le richieste migliorando le procedure legate all’identificazione dell’interessato anche in presenza di un responsabile del trattamentoo facendosi supportare dal responsabile protezione dati se presente.
  • Comunicare l’avvenuto esercizio rispettando la tempistica prevista di 30 giorni con la possibilità di prorogare per altri due mesi motivandone il ritardo.
  • Evadere le richieste solo nei casi in cui è possibile valutando i dati in suo possesso.

Attribuire spese solamente in caso di richieste ripetute o infondate e nel caso comportino un eccessivo costo da parte sua.

Sinteticamente i diritti sono:

Diritto di accesso (art. 15)

L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e a determinate informazioni

Diritto di rettifica (art 16)

L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Diritto di cancellazione (art 17)

L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se ne sussistono i motivi. 

Diritto di limitazione del trattamento (art. 18)

L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorrono le ipotesi.

Diritto alla portabilità (art. 20)

L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.

L’OEI ha provveduto ad individuare i diversi ruoli in punto privacy all’interno della propria organizzazione e nei rapporti con fornitori e soggetti terzi. Sono stati stipulati dei contratti di responsabilità esterna del trattamento dati ex art. 28 del GDPR e sono state fornite istruzioni agli autorizzati al trattamento dati ex art. 29 del GDPR Regolamento UE 2016/679.

Dati relativi alla salute

La riservatezza deve essere garantita in particolar modo per i cittadini che entrano in contatto con strutture sanitarie o studi medici, e quindi per i dati relativi alla salute a loro afferenti. I dati relativi alla salute sono quelli "attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute" (art. 4 GDPR). Sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona, e per questo vi è una tutela rafforzata, di tali dati.

Il Regolamento Europeo, come confermato dal Decreto di Raccordo n. 101/2018 che ha modificato il Testo Unico 196/2003, stabilisce un generale divieto di trattamenti dei dati relativi alla salute, divieto che non si applica se sono utilizzati esclusivamente per finalità connesse alla salute (finalità di cura), per la supervisione del Sistema Sanitario Nazionale (finalità di governo) e per la ricerca nel pubblico interesse. L’articolo 9, par. 2, lett h), specifica l'esenzione relativamente al trattamento dei dati per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Una volta che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi.
I dati però possono essere trattati per le finalità di cui al 9.2.h se "sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti" (art. 9.3).

Istruzioni impartite a tutti gli autorizzati / incaricati dal titolare/responsabile al trattamento dati

Articolo 29 del Regolamento UE 2016/679 

La principale novità introdotta dal Regolamento Europeo GDPR 2016/679 è stata quella di basare il tema della tutela dei dati personali attraverso un approccio di valutazione del rischio, in luogo del precedente approccio basato su adempimenti, e sul principio di responsabilizzazione, (“accountability”) per adottare le misure più opportune e comprovare il conseguimento degli obiettivi nel rispetto dei principi che presiedono il trattamento (lecito) dei dati personali; 

L’implementazione del nuovo “sistema privacy” delineato dal GDPR Regolamento UE 2016/679 implica la necessità di generare nell’organizzazione la piena consapevolezza del rischi inerenti ai trattamenti dei dati e le responsabilità connesse, nonché l’affermazione di una cultura della protezione dei dati quale parte integrante dell’intero asset informativo di un’organizzazione, con particolare attenzione ai dati sanitari (ivi compresi i dati biometrici e genetici).

All’uopo l’OEI ha individuato al proprio interno i dipendenti “autorizzati” e “delegati” al trattamento dati ex art. 29 del GDPR, non solo fornendo agli stessi istruzioni operative, informazioni e formazione, ma sensibilizzando una nuova cultura di tutela delle persone con rispetto al trattamento dati personali che deve sempre plasmarsi alla realtà operativa ed organizzativa in cui sono chiamati ad operare.

Alcune istruzioni pratiche sono: 

Nel caso di trattamenti dei dati personali mediante l’accesso ad archivi cartacei o senza l’ausilio di strumenti elettronici/informatici: 

Il trattamento dei dati senza strumenti elettronici, coinvolge i dati contenuti in tutti i supporti cartacei o simili che, comunque, non richiedano l’uso di elaboratori elettronici. Ove esistano copie o riproduzioni di documenti che contengono dati personali, le medesime devono essere protette con le stesse misure di sicurezza applicate agli originali. La gestione degli archivi cartacei si ascrive alla competenza del Delegato del trattamento. Lo stesso individua le tipologie dei documenti contenenti i dati sensibili e giudiziari dei dipendenti autorizzati ai relativi trattamenti. Il Delegato assicura che la documentazione venga custodita in armadi o in locali dotati di serratura, le cui chiavi dovranno essere conservate in modo appropriato. In caso di accesso da parte di soggetti non legittimati alla consultazione dei dati sensibili e giudiziari, il Delegato deve garantire la protezione degli stessi. I documenti contenenti dati personali sono custoditi in modo da non essere accessibili alle persone non designate del trattamento, mediante localizzazione presso spazi con accesso riservato (es. armadi, cassetti e locali chiusi a chiave). I documenti contenenti dati personali prelevati dagli archivi per l’attività quotidiana, sono ivi collocati al termine della giornata.

I documenti contenenti dati personali non devono rimanere incustoditi su scrivanie o tavoli di lavoro. 

Fatta salva ogni disciplina di legge o regolamento informatico, nel caso di trattamenti dei dati personali con strumenti elettronici o comunque automatizzati: 

  • Evitare di lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;
  • Proteggere la stazione di lavoro attraverso cui si accede a sessioni di trattamento di informazioni riservate, utilizzando key locks o screensaver (da attivare su richiesta o dopo un tempo prestabilito di inattività), nel caso in cui ci si assenti temporaneamente dall’ufficio;
  • Al termine della sessione di lavoro sui server centrali, effettuare la procedura di disconessione (log off/ log out);
  • Al termine della sessione sulla stazione di lavoro, effettuare la procedura di arresto del sistema ed attendere che sia terminata prima di lasciare l’ufficio;
  • I Delegati del trattamento dei dati hanno il compito di istruire gli incaricati del trattamento sull’uso delle passwords, sulle caratteristiche che esse debbono avere e sulle modalità per la loro modifica in autonomia come da normativa vigente in materia di privacy;
  • Se è necessario l’accesso di altre persone al suo PC, il designato non può rendere note le sue credenziali di accesso in caso di assenza, ma è tenuto a predisporre un’altra modalità di accesso ai dati;
  • Ogni novanta giorni ovvero quando si renda necessario ai fini della sicurezza, ciascun utente è tenuto a modificare la propria password che dovrà essere di almeno 8 caratteri alfanumerici caratterizzati da criteri complessi (almeno una maiuscola ed un carattere speciale) e possibilmente non dovrà contenere riferimenti facilmente riconducibili all’utente medesimo. La password dovrà essere custodita accuratamente dall’utente e ovviamente non dovrà essere divulgata;
  • Il SIA su istanza del Delegato può sospendere le credenziali per l’accesso ai dati dei Autorizzati al trattamento, nel caso di mancato utilizzo (per oltre sei mesi);
  • Il SIA su istanza del Delegato avrà inoltre il compito di revocare tutte le credenziali di autenticazione non utilizzate in caso di perdita della qualità che consentiva al Designato l’accesso ai dati personali. 

Elenco delle principali definizioni discendenti dal regolamento europeo gdpr 2016/679  e normativa nazionale (tu 196/2003 come novellato dal d.lgs 101/2018): 

Archivio: qualsiasi insieme strutturato di Dati Personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

Aree Sensibili: sono quei luoghi fisici o della Rete in cui vengono Trattati Dati Particolari e/o Dati Giudiziari relativi a persone fisiche; e/o luoghi in cui vengono gestiti e consultati documenti riservati a cui è assolutamente vietato accedere se non per motivi di servizio.

Autorità di Controllo: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 GDPR;

Consenso dell'Interessato o Consenso: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i Dati Personali che lo riguardano siano oggetto di Trattamento; 

Dati Biometrici: i Dati Personali ottenuti da un Trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; 

Dati Comuni: sono tutti i Dati Personali che non appartengono alle categorie dei Dati Particolari e Dati Giudiziari; 

Dati Genetici: i Dati Personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione; 

Dati Giudiziari: Dati Personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza; 

Dati Particolari: Dati Personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona; 

Dati relativi alla Salute: i Dati Personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; 

Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile; 

Interessato si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; 

Destinatario/i: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di Dati Personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di Dati Personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate Destinatari; il Trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del Trattamento; 

Device Fissi: si intendono gli strumenti informatici non facilmente removibili dal perimetro aziendale quali personal computer, server locali, stampanti affidati alle Persone Autorizzate per uso professionale;

Device Mobili: in generale si intendono quegli strumenti informatici che per loro natura sono facilmente asportabili dal perimetro aziendale quali chiavette USB, SD cards, hard disk esterni, tablet e smartphone utilizzati dalla Persone Autorizzate per uso professionale;

DPO o Responsabile Protezione Dati: è una persona fisica, nominata obbligatoriamente nei casi di cui all’art. 37.1 GDPR dal Titolare o dal Responsabile del Trattamento e deve possedere una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati per assisterli nel rispetto a livello interno del GDPR; 

GDPR o Regolamento: Regolamento Generale sulla Protezione dei dati personali (UE) 2016/679. 

Gruppo Imprenditoriale: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

Incaricato/i o Persona/e Autorizzata/e: si tratta dei Collaboratori autorizzati al Trattamento dei Dati Personali sotto la diretta autorità del Titolare e/o del Responsabile ex artt. 4(10) e 29 del GDPR. Stante la definizione fornita dal Gruppo di Lavoro Articolo 29 dell’Opinione 2/2017 questa definizione ricomprende: dipendenti ed ex dipendenti, dirigenti, sindaci, collaboratori e lavoratori a partita IVA, lavoratori a chiamata, part-time, job-sharing, contratti a termine, stage, senza distinzione di ruolo, funzione e/o livello, nonché consulenti e fornitori della Società e, più in generale, tutti coloro che utilizzino od abbiano utilizzato Strumenti dell’Ente o Strumenti Personali operino sulla Rete ovvero siano a conoscenza di informazioni aziendali rilevanti quali, a titolo esemplificativo e non esaustivo: (a) i Dati Personali di clienti, dipendenti e fornitori, compresi gli indirizzi di posta elettronica; (b) tutte le informazioni aventi ad oggetto informazioni confidenziali di natura commerciale, finanziaria o di strategia di business; nonché (c) i dati e le informazioni relative ai processi aziendali, inclusa la realizzazione di marchi, brevetti e diritti di proprietà industriale, la cui tutela prescinde dagli effetti pregiudizievoli che potrebbe comportare la diffusione delle medesime.

Limitazione Di Trattamento: il contrassegno dei Dati Personali conservati con l'obiettivo di limitarne il Trattamento in futuro; 

Processo Decisionale Automatizzato: decisione basata unicamente sul Trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona;

Profilazione: qualsiasi forma di Trattamento automatizzato di Dati Personali consistente nell'utilizzo di tali Dati Personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; 

Pseudonimizzazione: il Trattamento dei Dati Personali in modo tale che i Dati Personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali Dati Personali non siano attribuiti a una persona fisica identificata o identificabile; 

Rappresentante: la persona fisica o giuridica stabilita nell'Unione che, designata dal Titolare del trattamento o dal Responsabile del trattamento per iscritto ai sensi dell'articolo 27 GDPR, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del GDPR; 

Responsabile del Trattamento o Responsabile: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta Dati Personali per conto del Titolare del Trattamento; deve presentare garanzie sufficienti di attuare misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato;

Rete: rappresenta il perimetro digitale della Società contenente Dati Personali e/o informazioni riservate comprensivo della rete interna (intranet) e della rete esterna (internet) a cui ci si può collegare via rete LAN, Wi-Fi o VPN; 

Strumenti Aziendali: l’insieme di Device Fissi e Device Mobili concessi in comodato d’uso dalla Società alle Persone Autorizzate al fine di svolgere le proprie mansioni;

Strumenti Personali: i Device Mobili di proprietà delle Persone Autorizzate autorizzati ad essere impiegati per uso professionale; 

Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il Titolare del Trattamento, il Responsabile del Trattamento e le Persone Autorizzate al Trattamento dei Dati Personali sotto l'autorità diretta del Titolare o del Responsabile;

Titolare del Trattamento o Titolare: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento di dati personali; quando le finalità e i mezzi di tale Trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il Titolare o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 

Trattamento o Trattato/Trattati: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; 

Trattamento Transfrontaliero: a) Trattamento di Dati Personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un Titolare del Trattamento o Responsabile del Trattamento nell'Unione  ove  il  Titolare  o  il  Responsabile  siano  stabiliti  in  più  di  uno  Stato  membro;  oppure, b) Trattamento di Dati Personali che ha luogo nell'ambito delle attività di un unico stabilimento di un Titolare o Responsabile nell'Unione, ma che incide o probabilmente incide in modo sostanziale su Interessati in più di uno Stato membro; 

Violazione Dei Dati Personali ovvero Data Breach: è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque Trattati.

Ultima modifica giovedì 24 ottobre 2019

Per offrire informazioni e servizi nel miglior modo possibile, questo sito utilizza cookie tecnici e analitici.